El Patch Tuesday de junio de 2026 ha batido un récord que duró más de veinte años: Microsoft corrigió 206 vulnerabilidades en una sola tanda, la mayor desde que el programa arrancó en 2003. Casi 40 son críticas y, de ellas, la gran mayoría son de ejecución remota de código.

Tres son zero-days divulgados públicamente antes de que hubiera parche (de momento sin explotación confirmada en ataques):
- CVE-2026-45586 (CTFMON), una elevación de privilegios a SYSTEM, filtrada por el investigador "Nightmare Eclipse" dentro de una oleada de zero-days en protesta por la gestión del programa de bug bounty de Microsoft.
- CVE-2026-49160 (HTTP.sys), una denegación de servicio bautizada "HTTP/2 Bomb" que con muy pocos datos obliga al servidor a consumir memoria desproporcionada.
- CVE-2026-50507 (BitLocker), un bypass de cifrado de disco que requiere acceso físico.

Pero el que más debería preocupar a quien expone servidores web es CVE-2026-47291, un RCE crítico en HTTP.sys con CVSS 9.8: un atacante remoto sin autenticación podría ejecutar código aprovechando un desbordamiento de enteros y de heap. HTTP.sys es el driver de servidor HTTP del kernel de Windows, así que afecta a IIS y otros servicios web. A esto se suman 11 CVEs en el cliente de Escritorio Remoto, escapes de invitado en Hyper-V y varios RCE en Office explotables con solo abrir (o previsualizar) un documento manipulado.

El problema real no es ningún fallo concreto: es el volumen. Con 206 parches, ninguna organización los aplica todos el mismo día. Hay que priorizar (servidores expuestos, RDP, Hyper-V, Office) y asumir que durante días o semanas convives con equipos vulnerables. Ese intervalo entre "parche publicado" y "parche aplicado" es donde los atacantes corren —el clásico "Exploit Wednesday"— y donde la detección marca la diferencia.

¿Estás cubierto en DefensOps?

Parchear cierra puertas; detectar te avisa cuando alguien ya entró por una que seguía abierta. DefensOps cubre los patrones de explotación de este lote:

  • Reglas premium (111xxx) detectan la cadena post-explotación en endpoint: documentos de Office que lanzan procesos hijo sospechosos (MITRE T1204.002), elevaciones de privilegio encadenadas tras el acceso inicial (T1068) y ejecución vía PowerShell (T1059.001).
  • NDR con Zeek/Suricata (reglas 112xxx) vigila la explotación de servicios expuestos como HTTP.sys/IIS y el tráfico de Escritorio Remoto anómalo (T1190, T1210).
  • El análisis con IA de la cadena de ataque (Professional y Enterprise) prioriza por ti: en vez de 206 CVEs en abstracto, te muestra qué se está intentando explotar de verdad en tu red.

No puedes parchear 206 fallos en un día. Nosotros vigilamos el hueco mientras lo haces. Pide una demo.Ver planes y pedir demo

Fuente: Microsoft Security Update Guide (junio 2026) · análisis de CrowdStrike y BleepingComputer · NVD: https://nvd.nist.gov/vuln/detail/CVE-2026-47291