El Patch Tuesday de juny de 2026 va ser el més gran de la història de Microsoft, amb 206 vulnerabilitats corregides (32 marcades com a crítiques). Enmig de tot aquest volum, el que demana atenció immediata si administres virtualització són tres errors d’execució remota de codi a Windows Hyper-V que permeten sortir d’una màquina virtual convidada i executar codi al servidor que l’allotja.
Què són aquests errors
Parlem de tres CVE diferents però amb el mateix patró: CVE-2026-45607 (CVSS 8.4), CVE-2026-45641 (CVSS 8.4) i CVE-2026-47652 (CVSS 8.2). Cisco Talos els classifica com a execució remota de codi crítica a Hyper-V, i tots tres deriven de lectures fora dels límits de memòria (out-of-bounds reads).
El mecanisme és el que posa els pèls de punta a qualsevol que gestioni hosts compartits. Segons la descripció de Microsoft, un atacant autenticat dins d’una màquina virtual convidada envia sol·licituds d’operació de fitxer manipulades als recursos de maquinari d’aquesta VM. Aquestes peticions arriben al codi de Hyper-V a l’amfitrió, forcen una lectura fora de límits i acaben permetent executar codi al servidor host. És el que es coneix com a escapament de convidat a host: la frontera que separa una VM del sistema que la conté deixa d’aïllar.
A aquests tres se suma CVE-2026-42972, una divulgació d’informació a Hyper-V que exposa contingut de memòria del host. Tota sola és menys greu, però encadenada amb un error de lectura fora de límits pot donar a un atacant les adreces de memòria que necessita per afinar un exploit.
A qui afecta
A qualsevol desplegament de Windows Hyper-V, tant en edicions client com en les de servidor suportades. El risc es concentra allà on l’aïllament entre convidat i host és la línia de defensa principal: proveïdors d’allotjament amb VMs de diversos clients a la mateixa màquina, infraestructures de virtualització corporatives i laboratoris on s’executa codi no fiable dins de màquines virtuals. Si la teva superfície de Hyper-V es redueix a VMs internes i de confiança, el risc baixa, però la pegata continua sent obligatòria.
Una nota de context sobre la gravetat: Microsoft va qualificar aquests tres RCE com a “menys probables” de ser explotats. Això redueix la urgència davant d’un zero-day actiu, però no l’elimina. Un escapament de convidat a host és dels pitjors resultats possibles en virtualització, i el fet que només calgui un compte autenticat a la VM el deixa a l’abast de qualsevol que ja tingui un peu a dins.
Mitigació
No hi ha cap mitigació alternativa real: la solució és aplicar les actualitzacions de juny de 2026. Si gestiones hosts de Windows Server amb el rol de Hyper-V, prioritza el desplegament de la pegata als amfitrions per damunt de qualsevol altra cosa del cicle. Mentrestant, convé revisar quines VMs executen càrregues no fiables i limitar qui té credencials dins dels convidats, perquè l’atac parteix de tenir accés autenticat a la màquina virtual.
Cisco Talos va publicar regles Snort per detectar intents d’explotació (Snort 2: 66572-66577 i altres; Snort 3: 301523-301525 i següents). Si tens IPS/IDS, actualitzar el conjunt de regles afegeix una capa de detecció mentre completes la pegata.
Aquests errors van arribar al mateix cicle que el rècord de CVEs del Patch Tuesday de juny de 2026, que també va incloure un RCE crític al kernel de Windows.