Exploração ativa confirmada pelo centro nacional de cibersegurança da Bélgica

O Centro de Segurança Cibernética da Bélgica (CCB) emitiu um alerta formal confirmando que grupos de ameaça estão explorando ativamente uma falha crítica no protocolo Windows Netlogon. A Microsoft já disponibilizou o patch corretivo, mas organizações que ainda não aplicaram a atualização permanecem completamente expostas. Controladores de domínio comprometidos dão ao atacante controle sobre toda a infraestrutura de autenticação da rede, incluindo ambientes integrados ao Microsoft 365 e ao Azure AD.

Execução de código sem senha: como a falha é explorada

A vulnerabilidade reside em um overflow de buffer na interface de chamada de procedimento remoto (RPC) do serviço Netlogon. Um atacante posicionado na rede envia uma requisição especialmente construída ao controlador de domínio Windows Server e obtém execução de código arbitrário — sem precisar de qualquer credencial válida. Por tratar-se de uma falha no protocolo de autenticação em si, o impacto de uma exploração bem-sucedida vai além de um servidor isolado: compromete a raiz da confiança de todo o domínio Active Directory.

Seu ambiente pode estar sendo atacado agora — veja os sinais

Alguns indicadores sugerem que a falha pode estar sendo explorada no seu ambiente. Fique atento a:

• Falhas de autenticação repetidas e sem explicação aparente em controladores de domínio
• Tráfego de rede anômalo direcionado às portas RPC do Windows Server
• Comportamento inesperado em contas de serviço ou contas privilegiadas

Logs de eventos de segurança do Windows Server são o ponto de partida mais direto para investigar qualquer um desses sinais.

Corrija agora: as três ações mais urgentes

A prioridade imediata é aplicar os patches mais recentes da Microsoft em todos os servidores Windows, começando pelos controladores de domínio. Além da atualização, duas medidas complementares reduzem significativamente a superfície de ataque:

• Restrinja o acesso ao serviço Netlogon apenas aos sistemas que realmente precisam se comunicar com os controladores de domínio
• Monitore ativamente logs de autenticação e eventos RPC em busca de requisições anômalas

A janela entre a publicação de um patch e o início da exploração em larga escala está cada vez mais curta. Cada dia sem atualização é uma oportunidade a mais para o atacante.

Checklist prático

1. Confirme que os patches mais recentes do Windows Server estão aplicados em todos os controladores de domínio
2. Revise regras de firewall para limitar o acesso às portas RPC usadas pelo Netlogon
3. Audite logs de segurança em busca de falhas de autenticação e tráfego RPC suspeito

Perguntas frequentes

O que é a falha no Windows Netlogon?

É uma vulnerabilidade crítica que permite a um atacante executar código remotamente em controladores de domínio Windows Server sem precisar de autenticação. A falha está no componente RPC do serviço Netlogon e já foi confirmada como explorada ativamente.

Como posso saber se estou vulnerável?

Se os patches mais recentes da Microsoft não foram aplicados nos seus controladores de domínio Windows Server, o ambiente está exposto. Verifique o histórico de atualizações e revise os logs de eventos de segurança para identificar atividade suspeita.

O que devo fazer para me proteger?

Aplique imediatamente os patches da Microsoft, restrinja o acesso ao serviço Netlogon por segmentação de rede e monitore os logs de autenticação com regularidade. Ambientes com Microsoft 365 e Azure AD integrados ao Windows Server local devem ser tratados com prioridade máxima.

Conheça: Cofre Corporativo de MFA, Gestão de Acesso, Autenticação Forte. mfa2go.com

Fontes:
https://www.bleepingcomputer.com/news/microsoft/critical-windows-netlogon-remote-code-execution-flaw-now-exploited-in-attacks/