Microsoft lanzó el 9 de junio de 2026 su Patch Tuesday con parches para unas 200 vulnerabilidades, incluidas seis zero-day. Entre ellas destaca un fallo en Exchange explotado en ataques reales y dos bypass de BitLocker que obligan a priorizar la actualización en equipos y servidores críticos.
La tanda de parches de Microsoft del 9 de junio de 2026 llega con un volumen poco cómodo incluso para los equipos acostumbrados al Patch Tuesday: corrige alrededor de 200 vulnerabilidades y mete en el mismo paquete seis zero-day, cinco ya divulgadas públicamente y una con explotación activa. La actualización afecta a Windows en varios componentes y también a Microsoft Exchange Server, con implicaciones claras para organizaciones con servidores expuestos a Internet.
El balance técnico incluye 33 fallos críticos. Dentro de ese grupo aparecen 28 vulnerabilidades de ejecución remota de código, además de errores de elevación de privilegios y divulgación de información. Es el tipo de boletín que obliga a priorizar, porque mezcla problemas explotables a distancia con otros que facilitan pasar de un acceso limitado a control total del sistema.
El caso más delicado se centra en CVE-2026-42897, un fallo de suplantación en Microsoft Exchange Server 2016, 2019 y Subscription Edition (SE). Permite ejecutar JavaScript en el navegador dentro de Outlook Web Access (OWA) cuando el usuario abre un correo manipulado. Se ha visto en ataques reales y, de hecho, CISA lo incorporó a su catálogo de vulnerabilidades explotadas conocidas a mediados de mayo, elevando la presión sobre los administradores de correo.
Otra corrección sensible apunta a HTTP.sys con CVE-2026-49160, un DoS asociado al patrón HTTP/2 Bomb. El ataque dispara el consumo de recursos forzando un uso desproporcionado de memoria mediante cabeceras HTTP/2 y parámetros de flow control. Microsoft añadió el ajuste de registro MaxHeadersCount para limitar el número de cabeceras aceptadas en peticiones HTTP/2 y HTTP/3, con instrucciones específicas en KB5102602, una medida práctica para servidores expuestos.
El boletín también toca el cifrado. CVE-2026-45585, vinculada al alias YellowKey, permite saltarse BitLocker con acceso físico, un riesgo especialmente relevante en equipos con Windows 11 configurados en modo solo TPM, y en Windows Server 2022 y Windows Server 2025. A esto se suma CVE-2026-50507, otro bypass asociado al nombre bitskrieg, que llega con una advertencia operativa: en algunos equipos pueden aparecer problemas de arranque ligados a la carga de la clave de BitLocker.
En el terreno de privilegios, Microsoft corrige CVE-2020-17103 en Windows Cloud Files Mini Filter Driver, asociada a Mini Plasma, y CVE-2026-45586 en Windows Collaborative Translation Framework, relacionada con GreenPlasma. En ambos casos la preocupación es clara: estos fallos pueden convertir una intrusión limitada en una shell con permisos SYSTEM, el punto en el que el atacante ya juega con ventaja.
La recomendación para administradores y responsables de seguridad pasa por actuar en dos velocidades. Primero, desplegar con prioridad los parches de junio en servidores expuestos a Internet y en sistemas con datos sensibles. En Exchange, conviene instalar la actualización cuanto antes y mantener habilitado Exchange Emergency Mitigation Service, conservando la mitigación aplicada para CVE-2026-42897 como una capa adicional. En servidores que dependan de HTTP.sys, la configuración de MaxHeadersCount ayuda a reducir la superficie ante ataques de tipo HTTP/2 Bomb.
Para entornos con exigencias de protección física, merece la pena revisar BitLocker y evitar el modo solo TPM cuando proceda, migrando a TPM+PIN. Y si tras parchear CVE-2026-50507 aparece el error de BitLocker relacionado con la carga de clave, Microsoft apunta una salida práctica: reinicializar WinRE desactivándolo y activándolo de nuevo con reagentc en una consola con privilegios elevados. Como siempre en parches que tocan el arranque, lo sensato es validar primero en preproducción y vigilar de cerca los equipos más críticos.
Más información
- BleepingComputer – Microsoft June 2026 Patch Tuesday fixes 6 zero-days, 200 flaws : https://www.bleepingcomputer.com/news/microsoft/microsoft-june-2026-patch-tuesday-fixes-6-zero-days-200-flaws/
- BleepingComputer – Microsoft patches Exchange Server zero-day exploited in attacks : https://www.bleepingcomputer.com/news/microsoft/microsoft-patches-exchange-server-zero-day-exploited-in-attacks/
Deja una respuesta