Microsoft lanzó el martes su primera actualización de seguridad para 2026, abordando 114 fallas de seguridad, incluida una vulnerabilidad que anunció que estaba siendo explotada activamente en la naturaleza.
De las 114 deficiencias, 8 se califican como críticas y 106 como importantes. Hasta 58 vulnerabilidades se clasificaron como escalada de privilegios, seguidas de 22 fallas de divulgación de información, 21 de ejecución remota de código y 5 fallas de suplantación. La actualización es el tercer parche más grande de enero del martes, detrás de enero de 2025 y enero de 2022, según datos recopilados por Fortra.
Estos parches se suman a dos fallas de seguridad que Microsoft ha abordado en el navegador Edge desde el lanzamiento de la actualización del martes de parches de diciembre de 2025: falla de suplantación de identidad de aplicaciones de Android (CVE-2025-65046, 3.1) y caso de aplicación de políticas insuficiente de la etiqueta WebView de Chromium (CVE-2026-0628, puntuación CVSS: 8.8).
La vulnerabilidad que se está explotando en la naturaleza es CVE-2026-20805 (puntuación CVSS: 5,5), que es una falla de divulgación de información que afecta a los administradores de ventanas de escritorio. A Microsoft Threat Intelligence Center (MTIC) y Microsoft Security Response Center (MSRC) se les atribuye la identificación y notificación de esta falla.
«La información confidencial expuesta a un atacante no autorizado en Desktop Windows Manager (DWM) puede permitir que un atacante autorizado revele la información localmente», dijo Microsoft en un aviso. «El tipo de información que podría quedar expuesta si un atacante explotara con éxito esta vulnerabilidad es la dirección de la sección, o memoria en modo de usuario, del puerto ALPC remoto».
En este momento, se desconocen los detalles sobre cómo se explota esta vulnerabilidad, su escala y quién está detrás de la actividad.
«DWM es responsable de dibujar todo en la pantalla de un sistema Windows, lo que significa que casi todos los procesos necesitan mostrar algo, por lo que DWM proporciona una atractiva combinación de acceso privilegiado y disponibilidad universal», dijo Adam Barnett, ingeniero principal de software de Rapid7, en un comunicado. «En este caso, el exploit podría resultar en una divulgación inapropiada de las direcciones de las secciones del puerto ALPC, que son secciones de la memoria en modo de usuario que coordinan varias operaciones entre los componentes de Windows».
Microsoft abordó previamente una falla de día cero de DWM (CVE-2024-30051, puntuación CVSS: 7,8) que se explotó activamente en mayo de 2024. Esto se describió como una falla de escalada de privilegios que fue explotada por múltiples actores de amenazas en relación con la distribución de QakBot y otras familias de malware. Satnam Narang, ingeniero de investigación senior de Tenable, calificó a DWM como un «usuario frecuente» el martes de parches, con 20 CVE parcheados en la biblioteca desde 2022.
Jack Beisser, director de investigación de vulnerabilidades de Action1, dijo que la vulnerabilidad podría ser explotada por un atacante autenticado localmente para revelar información o derrotar la aleatorización del diseño del espacio de direcciones (ASLR) y otras defensas.
«Este tipo de vulnerabilidades se utilizan a menudo para socavar la aleatorización del diseño del espacio de direcciones (ASLR), un control de seguridad central en los sistemas operativos diseñado para proteger contra desbordamientos de búfer y otras vulnerabilidades de manipulación de la memoria», dijo a The Hacker News Kev Breen, director senior de investigación de amenazas cibernéticas en Immersive.
«Al revelar dónde reside el código en la memoria, esta vulnerabilidad puede encadenarse con otras fallas de ejecución de código, convirtiendo un exploit complejo y poco confiable en un ataque práctico y repetible».
Posteriormente, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó la falla a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV) y requirió que las agencias del Poder Ejecutivo Civil Federal (FCEB) aplicaran la última solución antes del 3 de febrero de 2026.
Otra vulnerabilidad notable implica eludir las funciones de seguridad que afectan la caducidad de los certificados de arranque seguro (CVE-2026-21265, puntuación CVSS: 6,4), lo que podría permitir a un atacante comprometer un mecanismo de seguridad crítico que garantiza que los módulos de firmware provengan de fuentes confiables y evita que se ejecute malware durante el proceso de arranque.
En noviembre de 2025, Microsoft anunció que tres certificados de arranque seguro de Windows emitidos en 2011 expirarían en junio de 2026 y alentó a los clientes a actualizar a la versión 2023.
Microsoft Corporation KEK CA 2011 (junio de 2026) – Microsoft Corporation KEK 2K CA 2023 (para firmar actualizaciones de DB y DBX) Microsoft Windows Production PCA 2011 (octubre de 2026) – Windows UEFI CA 2023 (para firmar cargadores de arranque de Windows) Microsoft UEFI CA 2011 (junio de 2026) – Microsoft UEFI CA 2023 (para firmar arranques de terceros cargadores) y Microsoft Option ROM UEFI CA 2023 (para firmar ROM opcionales de terceros)
«Los certificados de arranque seguro utilizados por la mayoría de los dispositivos Windows están programados para caducar a partir de junio de 2026, lo que podría afectar la capacidad de ciertos dispositivos personales y comerciales para arrancar de forma segura si no se actualizan a tiempo», dijo Microsoft. «Para evitar confusiones, le recomendamos que revise la guía y tome medidas para renovar sus certificados con antelación».
El fabricante de Windows también señaló que la última actualización elimina los controladores del módem de software Agere «agrsm64.sys» y «agrsm.sys» que se enviaron de forma nativa con el sistema operativo. Los controladores de terceros son susceptibles a una falla de escalada de privilegios locales de dos años de antigüedad (CVE-2023-31096, puntuación CVSS: 7,8) que podría permitir a un atacante obtener privilegios del SISTEMA.
En octubre de 2025, Microsoft tomó medidas para eliminar otro controlador de módem Agere llamado ltmdm64.sys después de que se explotara una vulnerabilidad de escalada de privilegios (CVE-2025-24990, puntuación CVSS: 7,8) que podría permitir a un atacante obtener privilegios administrativos.
CVE-2026-20876 (puntuación CVSS: 6,7) también debería ocupar un lugar destacado en su lista de prioridades. Se trata de una falla de escalada de privilegios en los enclaves de seguridad basada en virtualización (VBS) de Windows que se considera crítica y permite a un atacante obtener privilegios de nivel de confianza virtual 2 (VTL2) y utilizarlos para subvertir los controles de seguridad, establecer una persistencia profunda y evadir la detección.
«Penetra el perímetro de seguridad diseñado para proteger el propio Windows, permitiendo a los atacantes penetrar una de las capas de ejecución más confiables del sistema», afirmó Mike Walters, cofundador y presidente de Action1.
«Si bien la explotación requiere altos privilegios, el impacto es grave porque la seguridad basada en la virtualización se ve comprometida. Los atacantes que ya han establecido un punto de apoyo podrían utilizar esta falla para derrotar las defensas avanzadas, y la aplicación rápida de parches es esencial para mantener la confianza en el perímetro de seguridad de Windows».
Parches de software de otros proveedores
Además de Microsoft, otros proveedores también han lanzado actualizaciones de seguridad desde principios de este mes para corregir varias vulnerabilidades, entre ellas:
ABB Adobe Amazon Web Services AMD Arm ASUS Broadcom (incluye VMware) Cisco ConnectWise Dassault Systèmes D-Link Dell Devolutions Drupal Elastic F5 Fortinet Fortra Foxit Software FUJIFILM Gigabyte GitLab Google Android y Pixel Google Chrome Google Cloud Grafana Hikvision HP HP Enterprise (incluye Aruba Networking y Juniper Networks) IBM Imagination Technologies Lenovo Distribuciones de Linux AlmaLinux, Alpine Linux, Amazon Linux, Arch Linux, Debian, Gentoo, Oracle Linux, Mageia, Red Hat, Rocky Linux, SUSE y Ubuntu MediaTek Mitel Mitsubishi Electric MongoDB Moxa Mozilla Firefox y Firefox ESR n8n NETGEAR Node.js NVIDIA ownCloud QNAP Qualcomm Ricoh Samsung SAP Schneider Electric ServiceNow Siemens SolarWinds SonicWall Sophos Spring Framework Synology TP-Link Trend Micro y Veeam
Source link
