El segundo martes de junio de 2026 trajo el mayor Patch Tuesday del año hasta la fecha. Microsoft publicó actualizaciones de seguridad para más de 200 vulnerabilidades, incluyendo 6 zero-days (5 divulgados públicamente y 1 bajo explotación activa), 33 clasificadas como críticas y tres CVEs con CVSS 9.8 que merecen atención inmediata. El más urgente: CVE-2026-45657, un fallo de ejecución remota de código en el kernel de Windows que el equipo de Zero Day Initiative clasifica como potencialmente wormable — es decir, capaz de propagarse automáticamente de sistema en sistema sin intervención humana, como WannaCry en 2017. Y como extra significativo para las organizaciones españolas: este Patch Tuesday incluye el parche definitivo para Exchange CVE-2026-42897, el zero-day de XSS en OWA que documentó Apolo en mayo y que llevó semanas bajo explotación activa con solo mitigaciones temporales.

¿Qué trae el Patch Tuesday de junio 2026?

Los hechos documentados por Microsoft, BleepingComputer, CrowdStrike, Zero Day Initiative y The Hacker News son los siguientes:

  • Escala del update: más de 200 vulnerabilidades parcheadas (206 según CrowdStrike). Windows recibió 120 parches, Extended Security Updates 103, y Microsoft Office 54.
  • Zero-days: 6 en total. 5 divulgados públicamente y 1 bajo explotación activa confirmada. El explotado activamente es CVE-2026-41091 (Microsoft Defender EoP).
  • Vulnerabilidades críticas: 33 clasificadas como Critical, de las cuales 28 son RCE, 4 son elevación de privilegios y 1 es divulgación de información.
  • Vectores de explotación dominantes: elevación de privilegios (65 parches, 32%), ejecución remota de código (55 parches, 27%) y divulgación de información (29 parches, 13%).

Los CVEs más críticos: kernel wormable, HTTP.sys y DHCP Client

CVE-2026-45657 — Windows Kernel RCE (CVSS 9.8) — Potencialmente wormable:

  • Fallo en la gestión TCP/IP del kernel de Windows. Atacantes remotos no autenticados pueden ejecutar código a nivel SYSTEM sin interacción del usuario.
  • Microsoft lo clasifica como “Explotación menos probable”. Zero Day Initiative discrepa: “cada investigador y laboratorio del planeta está reversando este parche ahora mismo intentando crear un exploit. Prueba y despliega este parche rápido.”
  • El carácter wormable implica que un exploit exitoso podría propagarse de sistema a sistema sin intervención humana. El mismo patrón técnico que EternalBlue, el exploit detrás de WannaCry.
  • Afecta todas las versiones de Windows y Windows Server mantenidas actualmente. Prioritario para entornos on-premise con exposición de red.

CVE-2026-47291 — HTTP.sys RCE (CVSS 9.8) — Explotación más probable:

  • Segundo RCE crítico de junio. Atacantes remotos no autenticados pueden ejecutar código sin interacción del usuario en sistemas con el stack HTTP de Windows.
  • Mitigación temporal disponible: sistemas que usan el valor por defecto de MaxRequestBytes en el registro no están afectados. Microsoft proporciona instrucciones y un script PowerShell para ajustar esta configuración mientras se aplica el parche.
  • Microsoft lo clasifica como “Explotación más probable”. Priorizar en servidores web con IIS o HTTP.sys expuestos.

CVE-2026-44815 — DHCP Client Service RCE (CVSS 9.8):

  • Desbordamiento de búfer en el servicio DHCP Client de Windows. Atacantes remotos no autenticados pueden ejecutar código sin interacción del usuario.
  • El vector DHCP lo hace especialmente relevante en entornos corporativos con redes internas no segmentadas: un atacante con acceso a la red local puede explotar este fallo en todos los clientes Windows que reciben configuración DHCP.

CVE-2026-41091 — Microsoft Defender EoP — Bajo explotación activa:

  • El único zero-day del Patch Tuesday de junio con explotación activa confirmada. Zero Day Initiative advierte que múltiples investigadores independientes reportaron el mismo fallo, lo que indica que la explotación real es probablemente significativa.
  • La buena noticia: Microsoft Defender se actualiza automáticamente en la mayoría de configuraciones corporativas. Los entornos aislados o sin actualización automática deben verificar manualmente.

CVE-2026-50507 — BitLocker Security Feature Bypass (CVSS 6.8):

  • Bypass de BitLocker con acceso físico. Un atacante con acceso físico al dispositivo puede eludir el cifrado BitLocker y acceder a los datos cifrados en el almacenamiento. Sin privilegios ni interacción del usuario requeridos. PoC público disponible.
  • Especialmente relevante para dispositivos portátiles corporativos en sectores donde el robo de equipos es un riesgo real: logistíca, campo, transporte.

El parche definitivo para Exchange CVE-2026-42897: el zero-day de mayo ya tiene fix permanente

El 9 de junio — un día antes del Patch Tuesday — Microsoft publicó el parche permanente para CVE-2026-42897, el fallo de XSS en Exchange Server OWA que Apolo documentó el 18 de mayo cuando estaba siendo explotado activamente como zero-day sin parche disponible. El bug, que permitía ejecutar JavaScript arbitrario en el contexto del navegador del usuario al abrir un email especialmente construido en OWA, llevó casi un mes con solo una mitigación temporal vía el Exchange Emergency Mitigation Service. El parche permanente está disponible ahora. Las organizaciones con Exchange on-premise deben aplicarlo y pueden retirar la mitigación temporal una vez instalado.

Lecciones clave y prioridades de parcheo para equipos IT

Con 200+ parches en un solo Patch Tuesday, la priorización es crítica. El orden recomendado para las organizaciones españolas basado en riesgo real:

  1. Prioridad máxima — Parchear esta semana: CVE-2026-41091 (Defender EoP, explotado activamente), CVE-2026-45657 (Kernel RCE wormable, CVSS 9.8), CVE-2026-47291 (HTTP.sys RCE, CVSS 9.8 con mitigación temporal disponible), CVE-2026-44815 (DHCP Client RCE, CVSS 9.8).
  2. Prioridad alta — Parchear este mes: Exchange CVE-2026-42897 (parche definitivo disponible; retirar mitigación temporal), CVE-2026-50507 (BitLocker bypass; relevante para flota móvil corporativa).
  3. Para CVE-2026-47291 mientras se aplica el parche: verificar la configuración MaxRequestBytes en el registro (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\Parameters). El script PowerShell de Microsoft permite ajustar rápidamente esta mitigación.
  4. Verificar Defender actualizado en entornos aislados: los entornos sin acceso a internet o con actualización automática deshabilitada deben actualizar Defender manualmente para remediar CVE-2026-41091.

La ciberseguridad como prioridad estratégica

El Patch Tuesday de junio 2026 confirma la tendencia que el DBIR 2026 documentó la semana pasada: el volumen de vulnerabilidades críticas a gestionar sigue creciendo — un 50% más que el año anterior — mientras los equipos IT mantienen los mismos recursos. Un kernel wormable con CVSS 9.8, un HTTP.sys RCE clasificado como “explotación más probable” y un DHCP Client RCE son tres vectores independientes que, combinados, representan una superficie de ataque masiva en cualquier entorno Windows. Para los responsables IT españoles, la pregunta de hoy es directa: ¿tienes un proceso que garantiza que CVE-2026-45657 y CVE-2026-47291 estarán parcheados antes de que un exploit sea públicamente disponible?

Apolo Cybersecurity: gestión de parcheo acelerado y evaluación de riesgo ante Patch Tuesday

En Apolo Cybersecurity ayudamos a organizaciones a gestionar el riesgo de cada Patch Tuesday: priorización basada en exposición real (no solo CVSS), verificación del estado de parcheo en toda la flota Windows, implementación de mitigaciones temporales para CVEs de CVSS 9.8 mientras se planifica el mantenimiento, y revisión del estado del parche definitivo de Exchange CVE-2026-42897.

Si tu organización no tiene un proceso definido para priorizar y desplegar parches críticos en menos de 7 días tras el Patch Tuesday, el Kernel RCE wormable de este mes es la señal para establecerlo.

__wf_reserved_inherit
Prev Post
Next Post

¿Tienes dudas? ¡Estamos encantados de ayudarte!

¡CONTÁCTANOS HOY!
info@apolocybersecurity.com
Responsable: Apolo Analytics S.L.
Finalidad: Responder a tu mensaje y almacenaje en base de datos para gestionar tu solicitud.
Legitimación: Consentimiento del interesado al enviar el formulario.
Destinatarios: No se cederán datos a terceros, salvo obligación legal.
Derechos: Puedes ejercer tus derechos de acceso, rectificación y supresión, entre otros, enviando un correo a secretaria@apolocybersecurity.Com.
Información adicional: Puedes consultar la información completa en nuestra Política de Privacidad.

¡Gracias !

Su mensaje a sido recibido correctamente.
Oops! Algo a ido mal a la jora de enviar el formulario.
te esperamos!
agenda una llamada
Project photo
Envíanos un mail
Project photo
+34 937948378
Project photo
Carrer 27 del BZ, 10–16, Sector BZ Zona Franca, 08040 Barcelona
Project photo
FAQScontactoTÉRMINOS Y CONDICIONESTrabaja con Nosotros
Acelerados por:
Certificaciones:
Light Eyes forma parte de Apolo Cybersecurity
Aviso legalpolítica de privacidadCookiespolítica seguridad de la información
Privacy Settings
Copyright © 2025 Apolo Cybersecurity