Microsoft parchó un RCE wormable con CVSS 10.0 entre las 200 vulnerabilidades del Patch Tuesday de junio

Contexto del incidente

Microsoft publicó el 10 de junio de 2026 su Patch Tuesday mensual, que este mes cierra con un récord histórico: 200 vulnerabilidades parchadas en Windows, Office, Azure, Exchange Server, Hyper-V y el resto del ecosistema. Del total, 33 son de severidad crítica, 166 importantes y 1 moderada. El mes incluye además tres zero-days ya divulgados públicamente antes del parche, lo que eleva la urgencia del despliegue.

El más severo de los tres es CVE-2026-45657, un RCE wormable en la pila HTTP/2 de Windows con CVSS 10.0. La condición de wormable significa que un único endpoint expuesto puede usarse para comprometer otros equipos de la red sin interacción del usuario, replicándose de forma similar a como lo hizo EternalBlue en 2017. Aunque al cierre del patch no se confirmó explotación activa, la criticidad y la disponibilidad pública de detalles técnicos hacen esperable la aparición de exploits weaponizados en cuestión de días.

El segundo zero-day es CVE-2026-45586 (apodado GreenPlasma), una elevación de privilegios en el Windows Collaborative Translation Framework Monitor (ctfmon) que permite a un usuario local tomar el control de procesos privilegiados. El tercero, CVE-2026-50507 (YellowKey), es un bypass de BitLocker que requiere acceso físico al equipo y permite leer datos del disco cifrado sin la clave de recuperación.

Un RCE wormable con CVSS 10.0 es exactamente el tipo de vulnerabilidad para la que existe el Patch Tuesday: parchear antes de que aparezca el exploit, no después.

¿Cómo proteger tu infraestructura?

1. Desplegar los parches de junio de inmediato

El cumulative update KB5094126 (Windows 11) y KB5094127 (Windows 10) ya están disponibles vía Windows Update y WSUS. En entornos con ventanas de cambio estrictas, priorizá al menos los servidores IIS, Exchange y los endpoints que reciben tráfico HTTP/2 desde Internet.

2. Auditar exposición HTTP/2 hacia Internet

Identificá qué servidores están sirviendo HTTP/2 (IIS, nginx, ALB de AWS, Cloudflare, etc.) y verificá que tengan WAF con reglas de mitigación virtual para CVE-2026-45657 hasta que todos los nodos estén parcheados. Una mitigación perimetral no reemplaza al parche, pero reduce la ventana de exposición.

3. Monitorear intentos de explotación

Configurá alertas para patrones anómalos de errores HTTP/2 (códices GOAWAY masivos, RST_STREAM repetidos, headers malformados de gran tamaño) y para la ejecución inesperada de ctfmon.exe desde cuentas no administrativas. La telemetría de EDR y del firewall de aplicación ayuda mucho en esta etapa.

4. Validar el despliegue, no solo el download

El download del parche no garantiza que esté aplicado. Corré Get-Hotfix o usá tu herramienta de vulnerability management para confirmar que el KB5094xxx está efectivamente instalado en cada endpoint antes de cerrar la tarea.

Indicadores de compromiso (IoC)

Si administrás infraestructura Windows con exposición a Internet, prestá atención a:

• Picos de errores HTTP/2 GOAWAY o RST_STREAM contra servidores IIS o HTTP.sys sin justificación operacional
• Procesos ctfmon.exe ejecutándose bajo cuentas de usuario estándar con privilegios elevados obtenidos durante la sesión
• Tentativas de acceso físico a equipos con BitLocker en regiones o horarios atípicos (riesgo de YellowKey)
• Conexiones salientes desde servidores IIS hacia destinos nunca antes vistos tras aplicar el parche (posible beaconing de exploit pre-actualización)

# PowerShell: confirmar que el parche de junio está instalado
Get-Hotfix | Where-Object { $_.HotFixID -match "^KB5094" } | Format-Table HotFixID, InstalledOn

# Buscar servicios IIS que sirvan HTTP/2 y no estén aún parcheados
Get-WindowsFeature Web-Server | Select-Object Name, InstallState
Invoke-WebRequest -Uri "https://tu-servidor/" -HttpVersion 2.0 -Method Head -UseBasicParsing | Select-Object StatusCode, ProtocolVersion