Um único pacote UDP na porta 389. Sem autenticação. Sem interação. E o domain controller desliga. A CVE-2026-41089 no Windows Netlogon não é um risco teórico — exploração ativa foi confirmada pelo CCB Bélgica em 29 de maio. O patch existe desde 12 de maio. E a maioria dos DCs ainda não está patcheada.
O bug: buffer overflow por tamanho não validado
O Windows Netlogon Remote Protocol (MS-NRPC) é o serviço que autentica usuários e máquinas no Active Directory. Roda em todo domain controller. Não dá para desligar sem quebrar o domínio.
O atacante envia um CLDAP SearchRequest craftado para UDP 389. O campo "User" aceita até 130 wide chars. Netlogon serializa a resposta em um buffer stack de 528 bytes usando a função NetpLogonPutUnicodeString — que não recebe o tamanho total do buffer como parâmetro. Quando o DNS domain name do DC tem 50+ caracteres, os dados combinados ultrapassam 528 bytes. O overflow corrompe o GS stack cookie. LSASS crasha com código 0xc0000409. O DC reboota em 60 segundos.
528 bytes de buffer. Uma função sem parâmetro de tamanho. E o serviço mais sensível do AD derruba com um pacote UDP sem autenticação. Buffer overflow por tamanho não validado — mesma classe de bug há 20 anos.
O detalhe técnico: tamanho controlável, conteúdo não
Os bytes que causam o overflow são DNS names do servidor, não dados inseridos pelo atacante. Na prática, o atacante controla o tamanho do overflow, não o conteúdo. Isso significa que RCE é improvável no estado atual — mas DoS é trivial.
Derrubar o LSASS de um domain controller não é um incidente menor. LSASS hospeda toda autenticação Kerberos e NTLM do domínio. Quando LSASS cai, o DC para de autenticar. Quando o DC reboota, o domínio fica sem autenticação por 60 segundos — ou mais, se o LSASS não subir limpo. Em ambientes com um único DC, isso significa parada total.
Mas o CCB Bélgica confirmou exploração ativa. E a Microsoft classificou a vulnerabilidade como wormable. Unauthenticated, network-reachable e com DC como alvo — isso é o que importa, independentemente de RCE ou DoS.
Quem está vulnerável: todos os DCs Windows
Todo Windows Server que atua como domain controller é afetado: 2012, 2012 R2, 2016, 2019, 2022 e 2025, incluindo Server Core. Windows 10 e 11 não são afetados. Servidores que não são DCs também não.
DCs com DNS name curto — como example.com — não são vulneráveis ao PoC atual. DCs com FQDN de 50+ caracteres são. Isso inclui ambientes com subdomínios longos, como dc01.corp.empresa.com.br, ou convenções de nomenclatura que acumulam domínios DNS.
O patch é KB5089549, disponível nos cumulative updates de maio/2026. A Feature_404993339 substitui NetpLogonPutUnicodeString por RtlStringCbCopyExW com byte-count budget — a função agora sabe o tamanho do buffer antes de escrever.
Mitigação imediata: patch, segmentação e monitoramento
O patch é a correção. Não existe workaround que substitua. Aplique KB5089549 em todos os DCs. Não espere o próximo ciclo. DCs primeiro — sempre.
Se não pode patchear agora, as mitigações são claras:
- Restrinja MS-NRPC na rede. DCs não devem ser alcançáveis de VLANs de usuário, DMZ ou VPN pools. Host firewalls e segmentação de rede reduzem a superfície de ataque.
- Verifique o DNS name dos seus DCs. 50+ caracteres é risco imediato. Se algum DC excede o limite, priorize o patch nesse servidor.
- Monitore crashes do LSASS. WER IDs 1000/1001 em
netlogon.dll, código0xc0000409e tráfego CLDAP anômalo na porta UDP 389 são indicadores de exploração.
Essas mitigações não são opcionais. São o mínimo que qualquer infraestrutura com DCs Windows deve ter — com ou sem CVE ativa.
A lição: mesma classe de bug há 20 anos
Buffer overflow por tamanho não validado. Essa é a mesma classe de vulnerabilidade que existe há duas décadas no Windows. A função NetpLogonPutUnicodeString não recebe o tamanho do buffer como parâmetro. Escreve até acabar o espaço. Quando o espaço acaba, o stack corrompe. O LSASS crasha. O DC reinicia.
O patch corrige a função. Mas não corrige a mentalidade que permite que funções sem validação de tamanho cheguem em produção em serviços críticos de autenticação. MS-NRPC é o protocolo que autentica todo o domínio. Não pode ter funções que escrevem em buffers sem saber o tamanho.
Na Tech86, auditamos infraestrutura Windows Server e Active Directory com foco em superfícies de ataque de autenticação. Se seus DCs estão expostos, você precisa saber antes do próximo pacote.