Microsoft corrigio en su Patch Tuesday del 14 de abril de 2026 uno de los fallos mas serios del ano para sistemas Windows. CVE-2026-33824 es un double free en la extension IKE (Internet Key Exchange), el componente que negocia las conexiones IPsec y VPN. Recibe un CVSS de 9.8, la franja critica, y lo peor es el vector: un atacante sin credenciales puede dispararlo a traves de la red.
Que es exactamente
IKE es el protocolo que dos extremos usan para acordar las claves de cifrado antes de levantar un tunel IPsec. En Windows lo gestiona el servicio IKEEXT, implementado en IKEEXT.dll. El fallo (clasificado como CWE-415, double free) esta en la logica que procesa los mensajes IKEv2, en concreto la fase SA_INIT del intercambio. Al manejar paquetes manipulados, las rutinas de gestion de memoria liberan dos veces el mismo buffer del heap. Ese segundo free() sobre memoria ya liberada es la base clasica para corromper el heap y, con trabajo, redirigir la ejecucion.
Como IKEEXT corre con privilegios de sistema, una explotacion exitosa concede ejecucion de codigo a nivel SYSTEM. No hay interaccion del usuario de por medio: basta con enviar el trafico.
A quien afecta
La lista de versiones afectadas es amplia. Cubre Windows 10 (1607, 1809, 21H2, 22H2), Windows 11 (22H2 en adelante, incluidas 24H2 y 25H2) y Windows Server 2016 y posteriores. En la practica, cualquier maquina Windows con IPsec o una VPN configurada que escuche en los puertos UDP 500 y 4500 entra en el radio de accion.
El detalle que mas preocupa es que la Zero Day Initiative la cataloga como wormable. Un atacante no necesita un objetivo concreto: el codigo puede saltar de una maquina vulnerable a otra de forma automatica, igual que hicieron en su dia EternalBlue o WannaCry. Eso convierte un solo equipo expuesto en internet en una puerta de entrada para toda la red interna.
Gravedad y explotacion
CVSS 9.8 con vector AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H: red, baja complejidad, sin privilegios, sin interaccion, e impacto total en confidencialidad, integridad y disponibilidad. En el momento del parche Microsoft no la habia marcado como explotada en estado salvaje, pero el potencial wormable y la simplicidad del vector la convierten en candidata directa a ingenieria inversa del parche y posterior abuso. Ya circulan analisis publicos del fallo, asi que el margen para actuar es estrecho.
Mitigacion
Aplica la actualizacion de abril de 2026 cuanto antes; es la solucion definitiva. Si no puedes parchear de inmediato, Microsoft sugiere dos medidas:
- En equipos que no usan IKE, bloquear el trafico entrante en los puertos UDP 500 y 4500.
- En equipos que si necesitan IPsec, restringir esos puertos para que solo acepten trafico de las direcciones de peers conocidos.
Conviene tambien revisar que maquinas exponen IKE hacia internet, porque ahi es donde el riesgo de propagacion automatica es mayor. Si gestionas servidores Windows en un dominio, prioriza los controladores y los equipos de borde.
Este parche llego en el mismo Patch Tuesday que corrigio otras RCE criticas en Windows, asi que tiene sentido aplicar el ciclo completo de actualizaciones de Windows en lugar de parchear suelto.