Microsoft va corregir al seu Patch Tuesday de juny de 2026 un zero-day divulgat públicament conegut com a “HTTP/2 Bomb”. La fallada, registrada com a CVE-2026-49160, afecta la implementació HTTP/2 de Windows dins de HTTP.sys, el driver de mode kernel que atén les peticions HTTP del sistema. La puntuació és CVSS 7.5 i es classifica com a gravetat alta.
Què és i com funciona
El problema és de consum descontrolat de recursos (CWE-400). Un atacant remot, sense autenticar-se i sense interacció de la víctima, pot enviar quantitats molt petites de dades per la xarxa i forçar el servidor a reservar quantitats desproporcionades de memòria. L’asimetria és el perill: poc esforç per a l’atacant, molta despesa per al servidor. Quan aquella memòria s’esgota o el servei deixa de respondre, arriba la denegació de servei.
El vector CVSS 3.1 ho resumeix bé: AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H. És a dir, atac per xarxa, complexitat baixa, sense privilegis ni clic de l’usuari, i l’únic impacte és sobre la disponibilitat. No hi ha robatori de dades ni manipulació, però sí caiguda del servei.
HTTP.sys és al nucli de molts serveis de Windows. No parlem només d’IIS: qualsevol component que depengui de la pila HTTP del sistema queda exposat. Per això una fallada aquí té un radi d’impacte ampli, sobretot en servidors accessibles des d’internet.
A qui afecta
Segons l’avís de Microsoft i l’entrada de NVD, el problema abasta un ventall ampli de versions: Windows 10 (1607, 1809, 21H2, 22H2), Windows 11 (23H2, 24H2, 25H2, 26H1) en x86, x64 i ARM64, i Windows Server 2016 i posteriors. Els servidors web i d’aplicacions que exposen HTTP/2 a la xarxa són l’objectiu més realista, perquè allà l’atac es pot llançar de manera remota i repetida.
Convé no confondre aquesta CVE amb CVE-2026-49975, una altra “HTTP/2 Bomb” del mateix mes que afecta diversos servidors (Apache httpd, nginx, IIS, Envoy, Pingora) combinant compressió HPACK i control de flux HTTP/2. Comparteixen idea i sobrenom, però són entrades diferents amb pedaços diferents.
Gravetat i mitigació
Que sigui un zero-day divulgat públicament puja la urgència: els detalls eren disponibles abans de tenir tot el parc actualitzat, cosa que redueix el marge davant de qui vulgui reproduir-lo. L’impacte es limita a la disponibilitat, així que el pitjor escenari és un servei caigut, no una intrusió. Per a un servidor de producció, això ja és suficient per actuar de pressa.
La mitigació és directa: aplica les actualitzacions de juny de 2026 mitjançant Windows Update o WSUS, i porta cada equip al build mínim corregit que indica l’avís de Microsoft per a la seva versió. Si gestiones servidors amb HTTP/2 exposat i no pots aplicar el pedaç de seguida, valora limitar l’exposició d’aquests endpoints mentre desplegues l’actualització.
Aquest zero-day va formar part del Patch Tuesday rècord de juny de 2026, amb prop de 200 CVE corregides.
Font
- NVD: CVE-2026-49160