Microsoft corrigió CVE-2026-41096 en el Patch Tuesday del 12 de mayo de 2026, una vulnerabilidad de ejecución remota de código en el cliente DNS de Windows que la compañía clasificó como crítica. El fallo no está en el servidor DNS, sino en el componente que resuelve nombres en cada equipo Windows cuando consulta a un servidor.
Qué falla exactamente
El cliente DNS es la pieza que traduce nombres de dominio a direcciones IP. Cada vez que abres una web, te conectas a un recurso de red o tu equipo resuelve un nombre interno, ese componente envía una consulta y procesa la respuesta que recibe.
El problema aparece justo ahí, en el procesamiento de la respuesta. Según la descripción de Microsoft, un servidor DNS controlado por el atacante puede devolver una respuesta especialmente manipulada que el cliente interpreta de forma incorrecta y termina corrompiendo memoria. Esa corrupción es lo que abre la puerta a ejecutar código en el sistema afectado de forma remota.
No hace falta que la víctima descargue ni abra nada. Basta con que su equipo realice una consulta DNS que acabe siendo atendida, directa o indirectamente, por un servidor bajo control del atacante.
A quién afecta y por qué importa
Cualquier equipo Windows que resuelva nombres usando un servidor DNS no fiable está expuesto. El escenario más realista es el de redes que no controlas del todo: una Wi-Fi pública, un router comprometido o un entorno donde alguien pueda situarse en medio de la comunicación y responder a las consultas antes que el servidor legítimo.
La gravedad viene del tipo de vector. Hablamos de ejecución de código sin interacción del usuario y con un componente que está activo en la práctica totalidad de las instalaciones de Windows. Aunque en el momento del parche no constaba explotación activa, un fallo de RCE en algo tan central tiene un valor evidente para quien lo encadene con otras técnicas.
Cómo protegerte
La mitigación es directa: aplicar las actualizaciones del Patch Tuesday de mayo de 2026. Microsoft incluyó la corrección en ese lote, que cerró alrededor de 120 fallos, 17 de ellos críticos, y que fue el primer Patch Tuesday sin zero-days conocidos desde junio de 2024.
Si gestionas equipos, prioriza el despliegue en máquinas que se conectan a redes no controladas: portátiles, equipos de personal en movilidad y cualquier sistema que use resolvedores DNS externos. Como medida complementaria, usar resolvedores DNS de confianza y, donde sea posible, DNS cifrado (DoH/DoT) reduce la superficie por la que un atacante podría inyectar respuestas, aunque no sustituye al parche.
Para el contexto completo del lanzamiento y el resto de fallos corregidos ese mes, tienes el resumen en Patch Tuesday de mayo 2026: Microsoft corrige 120 fallos sin zero-days.