Microsoft lanzó el martes correcciones para un récord 206 vulnerabilidades de seguridad impactando su cartera de software, incluidas tres fallas que se divulgaron públicamente en el momento del lanzamiento.

De los 206 defectos, 39 están clasificados como Críticos y 167 como Importantes en cuanto a su gravedad. Esto incluye 63 escalada de privilegios, 56 ejecución remota de código, 30 divulgación de información, 27 suplantación de identidad, 20 omisión de funciones de seguridad, siete denegaciones de servicio y tres vulnerabilidades de manipulación.

Los parches también incluyen dos CVE que no son de Microsoft, una vulnerabilidad de escalada de privilegios que afecta al kernel de Windows (CVE-2025-10263) y un arranque seguro UEFI omisión de funciones de seguridad (CVE-2026-8863). Se suman a más de 350 fallos de seguridad que Google ha solucionado en Chromium, que se utiliza en el navegador Edge de Microsoft.

Encabezando la lista de correcciones está CVE-2026-45657 (Puntuación CVSS: 9,8), una falla de uso después de la liberación que afecta al kernel de Windows y que podría resultar en la ejecución remota de código.

«Un atacante podría explotar esta vulnerabilidad enviando tráfico de red especialmente diseñado a un sistema Windows vulnerable», dijo Microsoft. «Si tienen éxito, los paquetes de red maliciosos podrían desencadenar una falla en la forma en que el kernel de Windows procesa ciertos datos TCP/IP, permitiendo potencialmente al atacante ejecutar código con privilegios a nivel de sistema sin necesidad de iniciar sesión o interactuar con un usuario».

Otras vulnerabilidades importantes a destacar se enumeran a continuación:

• CVE-2026-47291 (Puntuación CVSS: 9,8): un desbordamiento de enteros o una falla envolvente en Windows HTTP.sys que permite a un atacante no autorizado ejecutar código a través de una red.
• CVE-2026-44815 (Puntuación CVSS: 9,8): una vulnerabilidad de desbordamiento del búfer basada en pila en el cliente DHCP de Windows que permite a un atacante no autorizado ejecutar código a través de una red.

«Esta falla no necesita credenciales ni acción del usuario y puede convertir el tráfico de red en un compromiso total del sistema», Alex Vovk, CEO y cofundador de Action1, dicho sobre CVE-2026-44815. «Un atacante podría enviar tráfico de red especialmente diseñado a un sistema configurado para servicios DHCP».

«Una explotación exitosa podría permitir la ejecución de código no autorizado a través de la red con un alto impacto en la confidencialidad, integridad y disponibilidad. Esta vulnerabilidad crea un riesgo grave porque DHCP es una función central de la red. Una explotación exitosa podría llevar a comprometer el servidor, implementación de malware, robo de datos, interrupción del servicio y movimiento más profundo en la red. Los sistemas que manejan el tráfico DHCP deben ser tratados como objetivos de parches de alta prioridad».

Microsoft también ha lanzado parches para abordar CVE-2026-45585 (Puntuación CVSS: 6.8), una característica de seguridad de Windows BitLocker que evita la vulnerabilidad para la cual el mes pasado el investigador de seguridad Chaotic Eclipse (también conocido como Nightmare-Eclipse) lanzó un exploit de prueba de concepto (PoC) llamado YellowKey.

CVE-2026-45585 es una de varias omisiones de funciones seguras que los fabricantes de Windows han abordado este mes:

«Un atacante exitoso podría eludir la función de cifrado de dispositivo BitLocker en el dispositivo de almacenamiento del sistema», dijo Microsoft en sus avisos para los tres problemas. «Un atacante con acceso físico al objetivo podría aprovechar esta vulnerabilidad para obtener acceso a datos cifrados».

Según el investigador de seguridad Will Dormann, CVE-2026-50507 es juzgado ser una solución para una omisión de BitLocker denominada guerra de bits que otorga acceso completo a los datos cifrados. Vale la pena señalar que CVE-2026-50507, junto con CVE-2026-49160 y CVE-2026-45586, figuran como días cero divulgados públicamente.

• CVE-2026-45586 (Puntuación CVSS: 7,8) – Vulnerabilidad de escalada de privilegios del Marco de traducción colaborativa de Windows (CTFMON)
• CVE-2026-49160 (Puntuación CVSS: 7,5) – Vulnerabilidad de denegación de servicio HTTP.sys

CVE-2026-49160 está relacionado con HTTP2/Bomb, un técnica de ataque que se puede utilizar para desconectar servidores web en segundos. En pruebas realizadas por Calif, se encontró que un servidor IIS agotaba 64 GB de RAM en aproximadamente 45 segundos. Para mitigar el ataque, Microsoft ha introducido una nueva configuración de registro «MaxHeadersCount» para limitar la cantidad de encabezados en las solicitudes HTTP/2 y HTTP/3.

«Limitar los encabezados HTTP puede ayudar a proteger los sistemas y servidores del uso excesivo de memoria, el alto consumo de CPU y los ataques de denegación de servicio», Microsoft dicho. «Debido a que se utiliza la compresión de encabezados HTTP/2 (HPACK) o HTTP/3 (QPACK) y un procesamiento de protocolos más complejo, aplicar un límite de encabezados como MaxHeadersCount puede ayudar a mantener el rendimiento y la confiabilidad».

Por otro lado, se sospecha que CVE-2026-45586 es una solución para un exploit de escalada de privilegios de día cero que Chaotic Eclipse lanzó con el nombre GreenPlasma.

Por último, la actualización de junio de 2026 también cubre MiniPlasma, una vulnerabilidad separada revelada por Chaotic Eclipse como una solución incompleta para CVE-2020-17103, que fue abordada originalmente por Microsoft en diciembre de 2020.

«Para abordar de manera integral la vulnerabilidad identificada por CVE-2020-17103 y recientemente denominada públicamente ‘MiniPlasma’, Microsoft recomienda instalar las actualizaciones de junio de 2026 para sus sistemas operativos Windows», dijo el gigante tecnológico. dicho en una actualización de su aviso.

El creciente número de parches se ha atribuido al uso de enfoques de descubrimiento de vulnerabilidades asistidos por inteligencia artificial (IA), una tendencia que, según Microsoft, continuará en el futuro previsible.

«La proverbial caja de Pandora se ha abierto y, a medida que estén disponibles modelos de IA más avanzados, esperamos que la norma continúe aumentando en todos los ámbitos, no sólo para el martes de parches», dijo Satnam Narang, ingeniero senior de investigación de Tenable, en un comunicado.

Dustin Childs, jefe de concientización sobre amenazas en la Iniciativa de Día Cero (ZDI) de TrendAI, describió la caída masiva en las vulnerabilidades de Microsoft como un testimonio de cómo la IA está potenciando el descubrimiento de fallas a una escala incontrolable.

«La cantidad actual de CVE enviadas por Microsoft este año excede la cantidad total de CVE enviadas en todo 2018», dijo Childs. «Es extraordinario que Microsoft pueda producir tantos parches en un solo mes y espero que muchos evaluadores se pregunten qué problemas de calidad pueden existir».

Los parches llegan cuando Chaotic Eclipse lanzó un exploit PoC para otro día cero de Microsoft Defender llamado RoguePlanet, caracterizándolo como un condición de carrera que podría usarse para generar un símbolo del sistema de Windows con privilegios de SISTEMA.