Entre els gairebé 200 pedaços que Microsoft va treure al Patch Tuesday del juny de 2026 n’hi havia tres amb la nota màxima de gravetat: CVSS 9.8. Un d’ells, CVE-2026-44815, és en un lloc que gairebé ningú mira però que executa qualsevol equip connectat a una xarxa: el servei client DHCP de Windows.
DHCP és el protocol que demana una adreça IP a la xarxa quan arrenques el portàtil o connectes el mòbil al wifi. El client està actiu a pràcticament totes les instal·lacions de Windows, d’escriptori i de servidor, perquè gairebé ningú configura la IP a mà. Aquí hi ha el problema: la superfície d’atac és enorme.
Què falla
La falla és una execució remota de codi al component que processa les respostes DHCP. Microsoft la va puntuar amb CVSS 9.8, cosa que implica vector de xarxa, complexitat baixa, sense privilegis previs i sense interacció de l’usuari. Si aquesta puntuació és correcta, un atacant a la mateixa xarxa podria enviar respostes DHCP manipulades i executar codi a la màquina que les processa, sense que ningú faci clic enlloc.
Hi ha un matís que convé tenir present. L’equip de Zero Day Initiative va assenyalar una contradicció a la documentació: la mètrica CVSS diu que no calen permisos, però la descripció de Microsoft parla d’un atacant “autenticat”. ZDI recomana tirar pel costat conservador i refiar-se de la CVSS, és a dir, assumir el pitjor escenari fins que s’aclareixi. Tractar-ho com a remot i no autenticat és la postura assenyada mentre apliques el pedaç.
A qui afecta
A qualsevol sistema operatiu de Microsoft amb la funcionalitat de client DHCP, que a la pràctica són tots. Tant és si és un Windows 11 d’escriptori com un Windows Server en un datacenter: si demana IP per DHCP, està exposat. Per això ZDI el va descriure com un objectiu llaminer. Els entorns amb moltes màquines en una mateixa xarxa plana són els que concentren més risc, perquè n’hi ha prou que un equip compromès (o un atacant amb un punt de suport a la LAN) comenci a enviar respostes falses.
Com protegir-se
El pedaç està disponible des del 9 de juny de 2026 dins l’actualització acumulativa d’aquell mes. Instal·lar-lo és l’única solució completa. Recomanacions:
- Aplica el Patch Tuesday del juny de 2026 com més aviat millor a tots els Windows, inclosos servidors i màquines que rarament es reinicien.
- Dona prioritat als equips en xarxes compartides o segments poc controlats, on un atacant podria injectar trànsit DHCP.
- Com a mesura de contenció de xarxa, una segmentació adequada i la protecció davant de DHCP rogue (DHCP snooping als switches) redueixen la possibilitat que respostes falses arribin als clients, encara que no substitueixen el pedaç.
Aquest CVE va ser un dels tres 9.8 del mes, juntament amb CVE-2026-47291 a HTTP.sys i una falla al kernel de Windows. Tots tres permeten execució de codi sense autenticació ni interacció, així que el cicle del juny mereixia atenció immediata. Si gestiones equips Windows, repassa també el Patch Tuesday del juny de 2026 complet i la fitxa de Windows.