O Centro de Cibersegurança da Bélgica (Centre for Cybersecurity Belgium, CCB) emitiu um alerta crucial informando que agentes maliciosos já estão explorando ativamente uma vulnerabilidade crítica identificada como CVE-2026-41089, presente no serviço Netlogon do Windows. Esta falha de segurança, que recebeu a pontuação máxima de 9,8 na escala CVSS, permite a execução remota de código (RCE) em servidores afetados sem a necessidade de qualquer forma de autenticação prévia. A gravidade da situação é amplificada pelo fato de que a Microsoft já havia disponibilizado um patch para corrigir esta vulnerabilidade em seu boletim de atualizações de maio. Segundo os desenvolvedores da Microsoft, a raiz do problema reside em um buffer overflow na pilha (stack buffer overflow) dentro do serviço Netlogon.
Para que um ataque seja bem-sucedido, um invasor precisa apenas enviar uma requisição de rede especialmente elaborada para um servidor Windows que esteja atuando como controlador de domínio (Domain Controller). Se a exploração for bem-sucedida, o serviço Netlogon processará a requisição de forma incorreta, abrindo uma brecha para que o atacante execute comandos arbitrários no sistema comprometido. O aspecto mais preocupante desta vulnerabilidade é que o atacante não necessita de credenciais de usuário válidas, nem de qualquer tipo de acesso prévio à infraestrutura da vítima, tornando o vetor de ataque extremamente perigoso e de fácil disseminação.
No final da semana passada, representantes do CCB confirmaram que a CVE-2026-41089 está sendo ativamente explorada em ataques reais e instaram os administradores de sistemas a aplicarem as atualizações de segurança o mais rápido possível. Embora o CCB não tenha divulgado detalhes técnicos adicionais sobre os ataques observados, eles afirmaram que a informação foi obtida através de "parceiros confiáveis". Em contrapartida, especialistas da Microsoft ainda não confirmaram a exploração ativa da vulnerabilidade. Em um comunicado à imprensa, a empresa declarou que não possui dados que corroborem o alerta emitido pelos belgas. No entanto, a Microsoft também reiterou a recomendação para que todas as organizações sigam as diretrizes oficiais referentes à CVE-2026-41089 e apliquem os patches de maio em todos os sistemas vulneráveis sem demora. Até o momento, o alerta do CCB permanece como a única evidência pública da exploração da CVE-2026-41089. Contudo, caso a informação se confirme, esta pode ser considerada uma das vulnerabilidades mais perigosas corrigidas no ecossistema Windows este ano, exigindo atenção imediata das equipes de segurança.
