Ejecución Remota de Código (RCE) Crítica en Windows
Resumen
El Equipo de Respuesta a Incidentes de Seguridad Informática (CSIRT-UC) emite una ALERTA DE SEVERIDAD MÁXIMA tras la detección de una vulnerabilidad crítica en el servicio Windows Netlogon de Microsoft.
Identificada como CVE-2026–41089, esta falla de desbordamiento de búfer permite a un actor malicioso remoto y no autenticado ejecutar código arbitrario con los máximos privilegios en el sistema. El ataque se realiza directamente a través de la red mediante el envío de solicitudes modificadas a servidores expuestos, afectando principalmente a los Controladores de Dominio (Active Directory) que gestionan la autenticación institucional.
Detalles Técnicos de la Vulnerabilidad
| Atributo | Detalle |
| Identificador CVE | CVE-2026–41089 |
| Puntuación CVSS v3.1 | 9.8 (CRÍTICA) |
| Tipo de Falla | Desbordamiento de búfer basado en la pila (Stack-based Buffer Overflow). |
| Componente Afectado | Servicio Windows Netlogon. |
| Requisito de Acceso | Ninguno (No requiere credenciales, inicio de sesión ni interacción del usuario). |
| Impacto Potencial | Control total de la red/dominio. Al comprometer el servicio Netlogon en un Controlador de Dominio, el atacante puede tomar control absoluto de las identidades y accesos de la red institucional. |
Productos y Versiones Afectadas
El riesgo compromete la infraestructura de servidores y estaciones de trabajo Windows que no hayan sido actualizadas recientemente:
- Sistemas Operativos: Microsoft Windows y Windows Server.
- Condición de Vulnerabilidad: Sistemas con niveles de parche de seguridad anteriores a la actualización del 12 de mayo de 2026.
Recomendaciones de Seguridad
El CSIRT-UC insta al equipo de Infraestructura, Redes y TI de la Universidad a priorizar y ejecutar las siguientes medidas de mitigación de forma urgente:
1. Aplicación Inmediata de Parches (Prioridad Absoluta)
Ejecute las actualizaciones acumulativas de Microsoft de mayo de 2026 o posteriores en todos los servidores de la institución, comenzando de forma crítica por los Controladores de Dominio principales y secundarios.
2. Aislamiento de Red y Monitoreo
- Restricción de Puertos: Asegúrese de que los puertos asociados a Netlogon y servicios de directorio (como RPC/RPC dinámico, SMB puertos 135, 445) no estén expuestos directamente a Internet.
- Segmentación: Limite el tráfico hacia los Controladores de Dominio únicamente desde segmentos de red autorizados y redes internas controladas o VPNs.
3. Revisión de Logs
Monitoree de forma estricta los eventos del sistema relacionados con el servicio Netlogon (netlogon.log) e investigue cualquier comportamiento anómalo, detención inesperada del servicio o errores de desbordamiento en los registros de Windows.
Referencias Oficiales
- Guía de Actualización de Seguridad de Microsoft (MSRC): CVE-2026-41089 Portal Oficial
- Registro de Vulnerabilidad Global: CVE-2026-41089 en CVE.org
CSIRT-UC