Mastodon Mastodon Mastodon Mastodon

Microsoft corrige 206 vulnerabilidades en el Patch Tuesday de junio de 2026

Foto del autor

CyberSecureFox Editorial Team

Publicado:

El Patch Tuesday de junio de 2026 ha batido un récord de volumen: Microsoft ha corregido 206 vulnerabilidades en sus productos, de las cuales 39 han recibido la calificación de Critical y 167 la de Important. Entre las correcciones se encuentran tres zero-day divulgados públicamente (CVE-2026-50507, CVE-2026-49160, CVE-2026-45586) y, además, tres vulnerabilidades críticas de ejecución remota de código con puntuación CVSS máxima de 9.8, que no requieren autenticación ni interacción del usuario. Los administradores de infraestructuras Windows deben priorizar la instalación de las actualizaciones, especialmente en sistemas con servicios DHCP, servidores web IIS y controladores de dominio.

Vulnerabilidades críticas de ejecución remota de código

La vulnerabilidad más peligrosa de este conjunto es CVE-2026-45657 (CVSS 9.8), un error de tipo use-after-free en el kernel de Windows. Un atacante puede enviar tráfico de red especialmente diseñado a un sistema vulnerable, explotando el procesamiento incorrecto de datos TCP/IP en el kernel. La explotación satisfactoria permite la ejecución de código arbitrario con privilegios SYSTEM sin necesidad de autenticación ni de ninguna interacción por parte del usuario.

Otras dos vulnerabilidades críticas afectan a componentes de red clave de Windows:

  • CVE-2026-47291 (CVSS 9.8): integer overflow en Windows HTTP.sys, que permite a un atacante no autenticado ejecutar código de forma remota a través de la red.
  • CVE-2026-44815 (CVSS 9.8): stack buffer overflow en Windows DHCP Client, que también conduce a la ejecución remota de código sin autenticación.

La vulnerabilidad en el cliente DHCP merece especial atención: según los analistas de Action1, para explotarla no se requieren credenciales ni acciones del usuario; basta con enviar tráfico de red especialmente diseñado a un sistema que utilice servicios DHCP. Dado que DHCP es una función de red básica, una explotación satisfactoria puede conducir a la compromisión del servidor, el despliegue de malware, el robo de datos y el movimiento lateral dentro de la red.

Tres zero-day divulgados públicamente

Microsoft ha confirmado que tres vulnerabilidades se divulgaron públicamente antes de la publicación de los parches:

  • CVE-2026-50507 (CVSS 6.8): bypass de la protección BitLocker Device Encryption. Según el investigador Will Dormann, esta vulnerabilidad está presuntamente relacionada con una técnica de bypass de cifrado conocida en la comunidad como bitskrieg, que permite obtener acceso completo a los datos cifrados. Para su explotación se requiere acceso físico al dispositivo.
  • CVE-2026-49160 (CVSS 7.5): vulnerabilidad de denegación de servicio en HTTP.sys, asociada con la técnica de ataque HTTP2/Bomb. Según los investigadores de Calif, durante las pruebas el servidor IIS agotaba 64 GB de memoria RAM aproximadamente en 45 segundos.
  • CVE-2026-45586 (CVSS 7.8): elevación de privilegios en Windows Collaborative Translation Framework (CTFMON).

Es importante subrayar que ninguna de estas vulnerabilidades figura por el momento en el catálogo CISA KEV, y Microsoft no informa de explotación confirmada en ataques reales. No obstante, la existencia de PoC exploit públicos aumenta considerablemente la probabilidad de que los atacantes las utilicen en un futuro próximo.

Bypass de BitLocker y nueva mitigación para HTTP/2

Además de CVE-2026-50507, Microsoft ha corregido varias vulnerabilidades adicionales de bypass de mecanismos de protección relacionadas con BitLocker:

Todas las vulnerabilidades de BitLocker requieren acceso físico al dispositivo objetivo, lo que limita el número potencial de atacantes, pero las convierte en críticas para las organizaciones que trabajan con datos confidenciales en dispositivos móviles.

Para contrarrestar los ataques del tipo HTTP2/Bomb, Microsoft ha introducido un nuevo parámetro de registro, MaxHeadersCount, que limita el número de cabeceras en las solicitudes HTTP/2 y HTTP/3. Esto ayuda a proteger a los servidores frente al consumo excesivo de memoria y recursos de CPU.

Corrección de la vulnerabilidad MiniPlasma, presente desde hace seis años

Merece una atención especial la actualización para CVE-2020-17103, una vulnerabilidad corregida inicialmente en diciembre de 2020. Microsoft ha reconocido que el parche anterior era incompleto y ha recomendado instalar las actualizaciones de junio de 2026 para eliminar por completo el problema, conocido públicamente como MiniPlasma.

Visión global: distribución por tipo

De las 206 vulnerabilidades, la distribución por tipo es la siguiente: 63 de elevación de privilegios, 56 de ejecución remota de código, 30 de divulgación de información, 27 de spoofing, 20 de bypass de mecanismos de seguridad, 7 de denegación de servicio y 3 de manipulación de datos. Además, en este conjunto se incluyen dos CVE de componentes de terceros: CVE-2025-10263 (elevación de privilegios en el kernel de Windows) y CVE-2026-8863 (bypass de UEFI Secure Boot).

Recomendaciones de priorización

Dado el volumen y la criticidad de este conjunto de parches, se recomienda el siguiente orden de actuación:

  1. Inmediatamente: aplicar parches a los sistemas que procesan tráfico DHCP, los servidores web IIS y los sistemas accesibles desde la red, para corregir CVE-2026-45657, CVE-2026-47291 y CVE-2026-44815 (todas con CVSS 9.8).
  2. En un plazo de 24-48 horas: aplicar las actualizaciones para los zero-day divulgados públicamente: CVE-2026-50507, CVE-2026-49160 y CVE-2026-45586, para los cuales existen PoC exploit.
  3. Para servidores IIS: configurar el parámetro de registro MaxHeadersCount para limitar las cabeceras HTTP/2 y HTTP/3 como medida adicional de protección frente a ataques contra HTTP.sys.
  4. Para dispositivos móviles: actualizar los sistemas con BitLocker para eliminar los bypass de cifrado, especialmente en los portátiles de empleados que trabajan en remoto.
  5. Verificar que la actualización para CVE-2020-17103 (MiniPlasma) está instalada, incluso si ya se aplicó el parche de 2020.

El volumen récord del Patch Tuesday de junio —206 vulnerabilidades, tres de ellas ya divulgadas públicamente con PoC exploit disponibles— exige a los equipos de seguridad acelerar los ciclos de prueba y despliegue de actualizaciones. Tres vulnerabilidades con CVSS 9.8 explotables a través de tráfico de red sin autenticación representan un riesgo real de compromisos masivos para las organizaciones que retrasen el parcheo. Comience por los componentes de red —el kernel de Windows, HTTP.sys y el cliente DHCP— y configure el parámetro MaxHeadersCount en todos los servidores IIS antes de completar el ciclo completo de actualizaciones.

Foto del autor

CyberSecureFox Editorial Team

El equipo editorial de CyberSecureFox cubre noticias de ciberseguridad, vulnerabilidades, campañas de malware, actividad de ransomware, AI security, cloud security y security advisories de proveedores. Los materiales se preparan a partir de official advisories, datos de CVE/NVD, alertas de CISA, publicaciones de proveedores e informes públicos de investigadores. Los artículos se revisan antes de su publicación y se actualizan cuando aparece nueva información.

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

CyberSecureFox

© 2026 INFO

Sobre el sitio

Sobre CyberSecureFox

Autores

Contacto

Redacción

Estándares editoriales

Correcciones

Legal

Política de privacidad

Términos de servicio