Microsoft va tancar el 14 d’abril de 2026 el seu segon Patch Tuesday més gran de la història: 167 vulnerabilitats corregides d’un sol cop. La xifra gairebé triplica la de febrer i deixa l’abril com el mes amb més pedaços de tot el 2026 amb força marge. Si administres equips Windows o servidors, aquest és dels butlletins que convé aplicar aviat.
Què entra al butlletí
Dels 167 errors, vuit estan marcats com a crítics. Set són d’execució remota de codi i el vuitè és una denegació de servei. La resta es reparteix entre escalades de privilegis, divulgació d’informació, suplantació i bypass de funcions de seguretat. A aquest compte cal sumar-hi gairebé 60 pedaços de navegador (Edge i el motor Chromium que duu a sota), que Microsoft compta a part però que arriben a la mateixa finestra.
El que de debò obliga a moure’s de pressa són els dos zero-days.
El zero-day de SharePoint, explotat en atacs
El primer és una vulnerabilitat de suplantació a Microsoft SharePoint Server (CVE-2026-32201, CVSS 6.5). El problema és una validació d’entrada insuficient: un atacant no autenticat pot llançar atacs de spoofing a través de la xarxa, veure informació que no li pertoca i modificar dades exposades. La puntuació CVSS és mitjana, però el detall important és un altre. Microsoft va confirmar que ja s’estava explotant en atacs reals quan va sortir el pedaç. Un zero-day amb servidors de SharePoint pel mig mereix prioritat alta, sobretot si tens instàncies accessibles des de fora.
El segon zero-day: escalada a SYSTEM a Defender
L’altre és una elevació de privilegis a la plataforma antimalware de Microsoft Defender (CVE-2026-33825, CVSS 7.8), batejada com a BlueHammer. Concedeix privilegis de nivell SYSTEM, el màxim en un Windows. A diferència del de SharePoint, aquest es va divulgar públicament abans que existís pedaç, encara que de moment no s’ha vinculat a explotació activa. Que el detall tècnic fos al carrer sense correcció disponible és just el que apuja el risc. Es corregeix a la versió 4.18.26030.3011 del motor, que es distribueix de manera automàtica, així que la majoria d’equips el rebran sense intervenció manual.
Altres errors que convé mirar
Entre les RCE crítiques n’hi ha un parell que destaquen per l’abast. Una afecta Windows IKE (CVE-2026-33824, CVSS 9.8), un double free que ZDI cataloga com a wormable i que s’explota sense autenticació per xarxa; bloquejar els ports UDP 500 i 4500 serveix de mitigació temporal. Una altra és a la pila TCP/IP de Windows (CVE-2026-33827), una condició de cursa que afecta sistemes amb IPv6 i IPSec actius. També hi ha RCE crítiques a Active Directory i a Office/Word, aquestes últimes explotables a través del tauler de previsualització, és a dir, sense que la víctima obri el document a mà.
Si reps adjunts cada dia, prioritza les actualitzacions d’Office. I revisa els butlletins dels mesos veïns per no deixar forats: tens el resum de març i el de maig, on per primer cop en gairebé dos anys Microsoft no va reportar cap zero-day.
La recomanació és la de sempre amb un butlletí d’aquesta mida: provar en un grup pilot si gestiones un parc gran i desplegar tan aviat com es pugui als equips exposats.