El Patch Tuesday de junio de 2026 fue el más grande de la historia de Microsoft, con 206 vulnerabilidades corregidas (32 marcadas como críticas). Entre todo ese volumen, lo que merece atención inmediata si administras virtualización son tres fallos de ejecución remota de código en Windows Hyper-V que permiten salir de una máquina virtual invitada y ejecutar código en el servidor que la aloja.
Qué son estos fallos
Hablamos de tres CVE distintos pero con el mismo patrón: CVE-2026-45607 (CVSS 8.4), CVE-2026-45641 (CVSS 8.4) y CVE-2026-47652 (CVSS 8.2). Cisco Talos los clasifica como ejecución remota de código crítica en Hyper-V, y los tres derivan de lecturas fuera de los límites de memoria (out-of-bounds reads).
El mecanismo es el que pone los pelos de punta a cualquiera que gestione hosts compartidos. Según la descripción de Microsoft, un atacante autenticado dentro de una máquina virtual invitada envía solicitudes de operación de archivo manipuladas a los recursos de hardware de esa VM. Esas peticiones llegan al código de Hyper-V en el anfitrión, fuerzan una lectura fuera de límites y terminan permitiendo ejecutar código en el servidor host. Es lo que se conoce como escape de invitado a host: la frontera que separa una VM del sistema que la contiene deja de aislar.
A esos tres se suma CVE-2026-42972, una divulgación de información en Hyper-V que expone contenido de memoria del host. Por sí sola es menos grave, pero encadenada con un fallo de lectura fuera de límites puede dar a un atacante las direcciones de memoria que necesita para afinar un exploit.
A quién afecta
A cualquier despliegue de Windows Hyper-V, tanto en ediciones cliente como en las de servidor soportadas. El riesgo se concentra donde el aislamiento entre invitado y host es la línea de defensa principal: proveedores de hosting con VMs de varios clientes en la misma máquina, infraestructuras de virtualización corporativas y laboratorios donde se ejecuta código no confiable dentro de máquinas virtuales. Si tu superficie de Hyper-V se reduce a VMs internas y de confianza, el riesgo baja, pero el parche sigue siendo obligatorio.
Una nota de contexto sobre la gravedad: Microsoft calificó estos tres RCE como “menos probables” de ser explotados. Eso reduce la urgencia frente a un zero-day activo, pero no la elimina. Un escape de invitado a host es de los peores resultados posibles en virtualización, y el hecho de que se necesite solo una cuenta autenticada en la VM lo deja al alcance de cualquiera que ya tenga un pie dentro.
Mitigación
No hay mitigación alternativa real: la solución es aplicar las actualizaciones de junio de 2026. Si gestionas hosts de Windows Server con el rol de Hyper-V, prioriza el despliegue del parche en los anfitriones por encima de cualquier otra cosa del ciclo. Mientras tanto, conviene revisar qué VMs ejecutan cargas no confiables y limitar quién tiene credenciales dentro de los invitados, porque el ataque parte de tener acceso autenticado a la máquina virtual.
Cisco Talos publicó reglas Snort para detectar intentos de explotación (Snort 2: 66572-66577 y otras; Snort 3: 301523-301525 y siguientes). Si tienes IPS/IDS, actualizar el conjunto de reglas añade una capa de detección mientras completas el parcheo.
Estos fallos llegaron en el mismo ciclo que el récord de CVEs del Patch Tuesday de junio de 2026, que también incluyó un RCE crítico en el kernel de Windows.