Microsoft va corregir el 14 d’abril de 2026 la CVE-2026-33827, una vulnerabilitat d’execució remota de codi a la pila TCP/IP del sistema operatiu. Va arribar dins del Patch Tuesday d’abril, el mateix que va tapar més de 160 errors. Aquest destaca perquè no necessita credencials ni que la víctima faci res: només cal que el paquet adequat arribi a la màquina en el moment just.
El problema es classifica com a condició de carrera (CWE-362). Quan Windows reensambla fragments IPv6 i té IPSec activat, els fils que verifiquen la signatura IPSec i els que gestionen els buffers de fragments no se sincronitzen bé. Diversos fils poden tocar el mateix recurs alhora, i això deriva en use-after-free o double-free dins de la memòria del kernel. Si un atacant envia paquets IPv6 manipulats i aconsegueix guanyar la carrera, aquesta corrupció de memòria es pot convertir en execució de codi arbitrari amb privilegis de kernel. És a dir, control total de l’equip.
La nota la situa en CVSS 8.1, severitat crítica. La Zero Day Initiative la va marcar com a potencialment wormable: un error de xarxa, sense autenticació i sense interacció que, en teoria, un cuc podria fer servir per saltar de màquina en màquina pel seu compte. No és una etiqueta que es posi a la lleugera, i és el motiu pel qual convé corregir-la sense esperar el següent cicle de manteniment.
A qui afecta
L’explotació té una condició prèvia important: IPSec ha d’estar habilitat a l’equip objectiu. Això acota força la superfície real. Els candidats més exposats són les passarel·les VPN, els servidors de DirectAccess o Always On VPN, els extrems de túnels site-to-site i qualsevol host amb polítiques d’IPSec en mode transport. Una estació de treball domèstica amb la configuració per defecte, normalment, no té IPSec actiu.
Guanyar la carrera exigeix sincronia precisa, així que no és un exploit trivial de llançar a cegues. En el moment de la divulgació no hi havia prova de concepte pública ni explotació detectada en atacs reals. Tot i així, la combinació de “remot + sense autenticació + kernel + wormable” la col·loca a la llista de prioritats altes.
Mitigació
La correcció arriba amb les actualitzacions acumulatives del Patch Tuesday d’abril de 2026 (KB5039218 o posterior, via Windows Update). Instal·la-les i el problema desapareix.
Si per algun motiu no pots corregir de seguida un equip concret, valora deshabilitar IPSec on no faci falta o aplicar regles que limitin qui pot establir sessions IPsec contra aquestes màquines. No substitueix el pedaç, però redueix l’exposició mentre el desplegues.
Aquesta CVE no va ser l’única greu del butlletí. El mateix dia Microsoft va tapar una RCE wormable al servei IKE de Windows amb CVSS 9.8 i un zero-day de SharePoint que sí que estava sent explotat. Si vols el quadre complet, el repassem al resum del Patch Tuesday d’abril de 2026 i a l’anàlisi del zero-day de SharePoint. Pots consultar el cicle de suport i les versions afectades a la fitxa de Windows.