Patch Tuesday récord de Microsoft corrige 200 CVEs y expone un zero-day del Defender en uso

Microsoft publicó el 10 de junio el mayor Patch Tuesday desde el inicio del programa en 2003. Se corrigieron 200 vulnerabilidades en una sola tanda, incluyendo 33 clasificadas como críticas, 28 de ellas de ejecución remota de código. El lote también trajo seis zero-days divulgados públicamente, uno con explotación activa confirmada.

La vulnerabilidad bajo ataque es la CVE-2026-41091, una escalada de privilegio en Microsoft Defender con CVSS 7.8. El error permite que un invasor con acceso local ejecute código a nivel SYSTEM a través de una manipulación de enlaces de archivos en el Malware Protection Engine, según el boletín de Microsoft. La propia empresa actualiza el componente automáticamente, pero la CISA añadió la CVE al catálogo Known Exploited Vulnerabilities y exigió que las agencias federales estadounidenses aplicaran la versión 1.1.26040.8 del motor antes del 3 de junio, un plazo ya vencido.

La pila de RCE crítica

Dos fallas dominaron la lectura de riesgo fuera del Defender. La CVE-2026-45657, en el kernel de Windows 11 y Windows Server, es una ejecución remota de código con CVSS 9.8 explotable sin autenticación mediante una falla en el manejo de TCP/IP, según nota de Microsoft. No hay interacción del usuario involucrada. La CVE-2026-44815, en el servicio DHCP Client, recibió el mismo CVSS 9.8 y afecta a clientes Windows en red. Los operadores de SOC tienden a priorizar estas dos: ambas tienen el perfil de error que rápidamente se convierte en movimiento lateral en entornos corporativos.

La Zero Day Initiative, de Trend Micro, describió el lote como un nuevo normal. "Más de 200 CVEs corregidas en un solo martes es el tipo de evento que agota la capacidad de los equipos de respuesta", escribió Dustin Childs en el blog de ZDI publicado el 9 de junio. Childs también notó que 32 de las críticas se concentran en RCE, lo que altera la matriz de riesgo en entornos Active Directory y VPN aún apoyados en Windows Server.

Zero-days públicos y el RoguePlanet junto al parche

Además de la CVE-2026-41091, Microsoft señaló cinco zero-days divulgados públicamente sin explotación observada hasta ahora. La lista incluye la CVE-2026-45586, escalada de privilegio en el Windows Collaborative Translation Framework que cede SYSTEM al atacante, y la CVE-2026-49160, apodada por los investigadores como HTTP/2 Bomb, un vector de denegación de servicio en el stack HTTP/2 de Windows y de IIS. La CVE-2026-50507, en BitLocker, requiere acceso físico al dispositivo, un mitigador relevante para flotas corporativas, pero crítico para pérdidas y robos.

El mismo 10 de junio en que salió el paquete, un investigador identificado como Nightmare Eclipse publicó un proof-of-concept llamado RoguePlanet para una condición de carrera en Windows Defender que abre un shell corriendo como SYSTEM. Este PoC no está cubierto por las correcciones de junio, según aviso de Help Net Security. Los equipos de detección necesitan tratar el anuncio como una ampliación inmediata de la superficie de explotación, especialmente en entornos con endpoints no actualizados.

Dónde cae la cuenta

El tamaño del lote pesa más que cualquier CVE individual. En enero, Microsoft había corregido 112 CVEs en el primer Patch Tuesday del año, según Computer Weekly. Junio casi duplicó ese volumen y rompió el récord anterior del programa, vigente desde 2003. Para equipos de SOC en entornos regulados, principalmente bancos y aseguradoras europeos con SLA agresivo de parches críticos, la ventana de mantenimiento fuera de calendario se volvió inevitable.

En Estados Unidos, la Binding Operational Directive 22-01 obliga a las agencias federales a aplicar correcciones de CVEs en el catálogo KEV en plazos cortos. En el Reino Unido, el NCSC orienta a los operadores de infraestructura crítica a tratar los zero-days de Windows como prioridad uno cuando hay confirmación de uso activo. En mercados de offshoring intensivo, como India y Polonia, los Acceleration Centers y hubs de servicios compartidos de las Big 4 y de los bancos tier-1 tienden a propagar la ventana de mantenimiento para América Latina, Brasil incluido, en hasta 72 horas, lo que presiona a los equipos locales de bancos y operaciones de BPO contratantes.

La peculiaridad de esta ronda es el anuncio simultáneo del RoguePlanet. CVE corregida y PoC público el mismo día transforman el ciclo de parches en un cálculo binario: instalar antes de que la próxima ronda de ransomware integre el exploit. Para equipos europeos que aún gestionan las secuelas del incidente Qilin contra el VPN de Check Point, divulgado el 8 de junio y relacionado con la CVE-2026-50751, la tranquilidad de las próximas 48 horas es improbable.