Microsoft va corregir al seu Patch Tuesday de juny de 2026 una de les vulnerabilitats més serioses de l’any per a sistemes Windows. La CVE-2026-47291 viu a HTTP.sys, el driver de kernel que atén el trànsit HTTP a Windows. Com que és codi que corre en mode kernel i està per sota d’IIS, WinRM, WCF i gairebé qualsevol servei que escolti peticions HTTP, una errada aquí té un abast enorme.
Què passa exactament
HTTP.sys calcula la mida total d’una petició amb aritmètica de 16 bits. Quan el bloc de capçaleres d’una petició arriba o supera els 65.535 bytes, aquest càlcul es desborda (CWE-190, integer overflow) i el valor fa la volta cap a un número petit. El driver reserva llavors un buffer al heap del kernel molt més petit que les dades que copiarà, i escriu més enllà del final. El resultat és un desbordament de buffer dins la memòria del kernel.
Un atacant remot, sense autenticar-se i sense que ningú faci clic enlloc, pot disparar aquest desbordament enviant una petició HTTP construïda amb cura. En el pitjor dels casos porta a execució de codi amb privilegis de kernel, és a dir, control total de la màquina. La puntuació CVSS de l’avís és 9.8.
A qui afecta
El driver és present a pràcticament tot el catàleg de Windows amb suport: Windows 10 (1607, 1809, 21H2, 22H2), Windows 11 (23H2, 24H2, 25H2, 26H1) i Windows Server 2012, 2012 R2, 2016, 2019, 2022 i 2025, incloses les instal·lacions Server Core. Qualsevol servei construït sobre HTTP.sys (IIS, WinRM, WCF, serveis web propis) queda exposat.
Hi ha un detall que canvia molt la foto. El llindar que dispara l’errada són 65.535 bytes, però el límit que Windows porta de fàbrica per a una petició és MaxRequestBytes = 16.384. Amb aquest valor per defecte la petició ni tan sols arriba a la mida necessària per provocar el desbordament. Només són explotables els sistemes on algú ha pujat manualment MaxRequestBytes per sobre de 65.535, una cosa que de vegades es fa per acceptar capçaleres grans (tokens Kerberos voluminosos, certs fluxos d’autenticació). En el moment de la divulgació no hi havia constància d’explotació al món real.
Com protegir-te
El primer és instal·lar l’actualització de seguretat de Microsoft de juny de 2026 per a la teva versió de Windows. Això elimina la causa arrel.
Si no pots aplicar el pedaç de seguida, revisa aquesta clau del registre:
HKLM\SYSTEM\CurrentControlSet\Services\HTTP\Parameters\MaxRequestBytesSi el valor és més gran de 65.535, baixa’l per sota d’aquest número i reinicia el servei HTTP. Si la clau no existeix o conserva el valor per defecte, no cal tocar res: el teu sistema no està dins el rang explotable. Tot i així, aplica el pedaç tan aviat com puguis, perquè la mitigació del registre només tanca la via d’entrada coneguda i no arregla l’error de fons.
Aquesta no va ser l’única RCE crítica amb CVSS 9.8 del mateix paquet. El Patch Tuesday de juny de 2026 va batre el rècord de Microsoft amb prop de 200 CVE corregides i diversos zero-days, així que val la pena aplicar el lot complet i no només aquest pedaç solt. Si gestiones servidors Windows en producció, aquest és dels que convé prioritzar.