Microsoft va corregir al seu Patch Tuesday del 14 d’abril de 2026 un dels errors mes seriosos de l’any per a sistemes Windows. CVE-2026-33824 es un double free a l’extensio IKE (Internet Key Exchange), el component que negocia les connexions IPsec i VPN. Rep un CVSS de 9.8, dins la franja critica, i el pitjor es el vector: un atacant sense credencials pot disparar-lo a traves de la xarxa.
Que es exactament
IKE es el protocol que dos extrems fan servir per acordar les claus de xifratge abans d’aixecar un tunel IPsec. A Windows ho gestiona el servei IKEEXT, implementat a IKEEXT.dll. L’error (classificat com a CWE-415, double free) es a la logica que processa els missatges IKEv2, concretament la fase SA_INIT de l’intercanvi. En manejar paquets manipulats, les rutines de gestio de memoria alliberen dues vegades el mateix buffer del heap. Aquest segon free() sobre memoria ja alliberada es la base classica per corrompre el heap i, amb feina, redirigir l’execucio.
Com que IKEEXT corre amb privilegis de sistema, una explotacio reeixida concedeix execucio de codi a nivell SYSTEM. No hi ha interaccio de l’usuari pel mig: nomes cal enviar el trafic.
A qui afecta
La llista de versions afectades es amplia. Cobreix Windows 10 (1607, 1809, 21H2, 22H2), Windows 11 (22H2 endavant, incloses 24H2 i 25H2) i Windows Server 2016 i posteriors. A la practica, qualsevol maquina Windows amb IPsec o una VPN configurada que escolti als ports UDP 500 i 4500 hi entra.
El detall que mes preocupa es que la Zero Day Initiative la cataloga com a wormable. Un atacant no necessita un objectiu concret: el codi pot saltar d’una maquina vulnerable a una altra de manera automatica, tal com van fer al seu dia EternalBlue o WannaCry. Aixo converteix un sol equip exposat a internet en una porta d’entrada per a tota la xarxa interna.
Gravetat i explotacio
CVSS 9.8 amb vector AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H: xarxa, baixa complexitat, sense privilegis, sense interaccio, i impacte total en confidencialitat, integritat i disponibilitat. En el moment del pegat Microsoft no l’havia marcat com a explotada en estat salvatge, pero el potencial wormable i la simplicitat del vector la converteixen en candidata directa a l’enginyeria inversa del pegat i el posterior abus. Ja circulen analisis publiques de l’error, aixi que el marge per actuar es estret.
Mitigacio
Aplica l’actualitzacio d’abril de 2026 tan aviat com puguis; es la solucio definitiva. Si no pots pegar de seguida, Microsoft suggereix dues mesures:
- En equips que no fan servir IKE, bloquejar el trafic entrant als ports UDP 500 i 4500.
- En equips que si necessiten IPsec, restringir aquests ports perque nomes acceptin trafic de les adreces de peers coneguts.
Tambe conve revisar quines maquines exposen IKE cap a internet, perque es alli on el risc de propagacio automatica es mes alt. Si gestiones servidors Windows en un domini, prioritza els controladors i els equips de vora.
Aquest pegat va arribar al mateix Patch Tuesday que va corregir altres RCE critiques a Windows, aixi que te sentit aplicar el cicle complet d’actualitzacions de Windows en lloc de pegar de manera solta.