Microsoft parchea 208 CVEs en un Patch Tuesday histórico mientras un investigador publica un nuevo zero-day de Defender

Microsoft publicó parches de seguridad para 208 vulnerabilidades el 10 de junio de 2026, el mayor Patch Tuesday en los 23 años de historia del programa. Pocas horas después de publicar la actualización, un investigador conocido como Nightmare Eclipse lanzó código de exploit funcional para una vulnerabilidad de privilege escalation en Windows Defender nunca antes divulgada, dejando a los equipos de seguridad empresarial ante uno de los días de parcheo más exigentes que se recuerdan.

Un fallo wormable del kernel encabeza la lista

La corrección más urgente de este mes es CVE-2026-45657, una vulnerabilidad use-after-free con CVSS 9.8 en el Windows Kernel TCP/IP stack. Microsoft la clasifica como wormable: un atacante no autenticado desde internet puede enviar paquetes especialmente diseñados a un sistema vulnerable y lograr ejecución de código con nivel SYSTEM, sin credenciales y sin intervención del usuario. Los sistemas afectados incluyen Windows 11 versiones 23H2 a 26H1 en x64 y ARM64, y Windows Server 2022 y 2025 incluyendo Server Core.

No existe todavía ningún exploit público confirmado para CVE-2026-45657, pero investigadores de seguridad ya están haciendo reverse engineering del parche. Dado el perfil de la vulnerabilidad, la ventana hasta que aparezca un exploit público fiable se mide en días, no en semanas.

Seis zero-days, uno bajo explotación activa

Entre los 208 CVEs hay seis zero-days, cinco de los cuales ya eran públicos antes de los parches de hoy. Uno de ellos — CVE-2026-42897, una vulnerabilidad de spoofing en Microsoft Exchange — estaba siendo explotado activamente en ataques reales antes de que Microsoft publicara el parche. Los otros zero-days destacados incluyen GreenPlasma (CVE-2026-45586), una escalada de privilegios en el Windows Collaborative Translation Framework; YellowKey (CVE-2026-45585) y Bitskrieg (CVE-2026-50507), ambos bypass de BitLocker; y HTTP/2 Bomb (CVE-2026-49160), una vulnerabilidad de denial-of-service en HTTP.sys.

La cifra de 208 CVEs, contabilizada por el investigador Dustin Childs de Trend Micro Zero Day Initiative, supera el récord anterior de 167 CVEs en un solo mes. Del total, 33 son de severidad Critical, de los cuales 28 son fallos de remote code execution.

RoguePlanet: un nuevo zero-day de Defender el mismo día

Horas después de la actualización de Microsoft, Nightmare Eclipse — un investigador que ha publicado una serie de zero-days en Windows durante los últimos meses bajo nombres como BlueHammer, RedSun y GreenPlasma — publicó RoguePlanet, un nuevo exploit de local privilege escalation que apunta a Microsoft Defender. La falla explota una race condition en la lógica interna de manejo de archivos de Defender, lo que permite a un usuario estándar sin privilegios ejecutar código controlado por el atacante con privilegios SYSTEM en máquinas Windows 10 y Windows 11 completamente parcheadas.

El exploit no es 100% fiable — al ser una race condition, los resultados varían según la configuración del equipo — pero ThreatLocker confirmó que funciona en sistemas Windows 11 con la actualización KB5094126 de junio instalada. Las organizaciones que usan application allowlisting pueden bloquear este vector de ataque.

Nightmare Eclipse mantiene una disputa pública continua con Microsoft por sus prácticas de divulgación de vulnerabilidades y los pagos de bug bounty. Tras la eliminación de los repositorios del investigador en GitHub y GitLab, Nightmare Eclipse se trasladó a una plataforma propia en projectnightcrawler.dev y ha continuado publicando exploits. El CVE para RoguePlanet aún no ha sido asignado.

Qué priorizar

Los equipos de seguridad deben actuar con rapidez en CVE-2026-45657 (el fallo wormable del kernel TCP/IP) y CVE-2026-42897 (el zero-day de Exchange bajo ataque activo) antes de abordar el resto del lote. Para la falla RoguePlanet en Defender no existe aún un parche; el application allowlisting y las reglas de detección de endpoint son las medidas disponibles mientras Microsoft trabaja en una solución. Según informa BleepingComputer, la lista completa de CVEs y productos afectados está disponible en la Guía de Actualización de Seguridad de Microsoft de junio de 2026.