Microsoft lanzó el martes una actualización de seguridad que soluciona 59 fallas en su software. Esto incluye seis vulnerabilidades que se dice que realmente han sido explotadas.
De las 59 deficiencias, 5 se califican como «graves», 52 como «importantes» y 2 como «moderadas». 25 de las vulnerabilidades parcheadas se clasifican como escalada de privilegios, seguidas de ejecución remota de código (12), suplantación de identidad (7), divulgación de información (6), omisión de funciones de seguridad (5), denegación de servicio (3) y secuencias de comandos entre sitios (1).
Vale la pena señalar que este parche se suma a tres fallas de seguridad que Microsoft ha solucionado en su navegador Edge desde el lanzamiento de la actualización del martes de parches de enero de 2026. Entre ellas se encuentra una vulnerabilidad moderada que afecta al navegador Edge para Android (CVE-2026-0391, puntuación CVSS: 6,5), que podría permitir a un atacante no autorizado realizar suplantación de identidad en la red aprovechando la «tergiversación de información confidencial en la interfaz de usuario».
Encabezando la lista de actualizaciones de este mes se encuentran seis vulnerabilidades que, según se informa, están siendo explotadas activamente.
CVE-2026-21510 (Puntuación CVSS: 8,8): una falla en el mecanismo de protección del Shell de Windows permite a un atacante sin privilegios eludir las funciones de seguridad a través de la red. CVE-2026-21513 (Puntuación CVSS: 8,8): una falla en un mecanismo de protección en el marco MSHTML permite a un atacante sin privilegios eludir las funciones de seguridad a través de la red. CVE-2026-21514 (Puntuación CVSS: 7,8): la dependencia de datos no confiables en las decisiones de seguridad en Microsoft Office Word permite a un atacante sin privilegios eludir localmente las funciones de seguridad. CVE-2026-21519 (puntuación CVSS: 7,8): acceder a recursos utilizando tipos incompatibles («confusión de tipos») en un administrador de ventanas de escritorio permite a un atacante autorizado escalar privilegios localmente. CVE-2026-21525 (puntuación CVSS: 6,2): la desreferencia de puntero nulo en el Administrador de conexión de acceso remoto de Windows permite a atacantes no autorizados provocar localmente una denegación de servicio. CVE-2026-21533 (puntuación CVSS: 7,8): la gestión inadecuada de privilegios en el Escritorio remoto de Windows permite a un atacante autorizado escalar privilegios localmente.
Al propio equipo de seguridad de Microsoft y al Google Threat Intelligence Group (GTIG) se les atribuye el descubrimiento y el informe de las tres primeras fallas, que figuran como conocidas públicamente en el momento de su publicación. En este momento, se desconocen los detalles sobre cómo se aprovechó la vulnerabilidad y si se utilizó como arma como parte de la misma campaña.
«CVE-2026-21513 es una vulnerabilidad de elusión de una característica de seguridad en Microsoft MSHTML Framework, un componente central utilizado por Windows y múltiples aplicaciones para representar contenido HTML», afirmó Jack Bicer, director de investigación de vulnerabilidades de Action1. «Este problema se produce debido a una falla en un mecanismo de protección que permite a un atacante omitir el mensaje Ejecutar cuando un usuario interactúa con un archivo malicioso. Un archivo manipulado puede omitir silenciosamente los mensajes de seguridad de Windows y provocar acciones peligrosas con un solo clic».
Satnam Nanang, ingeniero senior de investigación de Tenable, dijo que CVE-2026-21513 y CVE-2026-21514 tienen «muchas similitudes» con CVE-2026-21510, pero la principal diferencia es que CVE-2026-21513 usa HTML. Mencioné que CVE-2026-21514 solo se puede explotar usando un archivo de Microsoft, mientras que se puede explotar usando un archivo. archivo de oficina.
CVE-2026-21525 está relacionado con un día cero que el servicio 0patch de ACROS Security anunció en diciembre de 2025 y que descubrió mientras investigaba otra falla relacionada en el mismo componente (CVE-2025-59230).
«Estas (CVE-2026-21519 y CVE-2026-21533) son vulnerabilidades de escalada de privilegios locales, lo que significa que el atacante ya debería haber obtenido acceso al host vulnerable», dijo Kev Breen, director senior de investigación de amenazas cibernéticas de Immersive, a The Hacker News por correo electrónico. «Esto puede ocurrir a través de un archivo adjunto malicioso, una vulnerabilidad de ejecución remota de código o un movimiento lateral desde otro sistema comprometido».
«Una vez que un host está comprometido, un atacante puede aprovechar estas vulnerabilidades de escalada para escalar privilegios al SISTEMA. Este nivel de acceso podría permitir a un actor de amenazas deshabilitar herramientas de seguridad, implementar malware adicional o, en el peor de los casos, acceder a secretos y credenciales que podrían conducir a un compromiso de todo el dominio».
En respuesta a este desarrollo, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó las seis vulnerabilidades a su Catálogo de vulnerabilidades explotadas conocidas (KEV) y exige que las agencias del Poder Ejecutivo Civil Federal (FCEB) las parcheen antes del 3 de marzo de 2026.
Esta actualización coincide con el lanzamiento de certificados de arranque seguro actualizados por parte de Microsoft que reemplazarán los certificados originales de 2011 que expirarán a fines de junio de 2026. El nuevo certificado se instalará mediante el proceso normal de actualización mensual de Windows sin ninguna acción adicional.
«Si su dispositivo no recibe un nuevo certificado de arranque seguro antes de que caduque el certificado de 2011, su PC seguirá funcionando normalmente y su software existente seguirá ejecutándose», dijo el gigante tecnológico. «Sin embargo, el dispositivo quedará en un estado comprometido, lo que limitará su capacidad para recibir futuras protecciones a nivel de arranque».
«Cuando se descubren nuevas vulnerabilidades a nivel de arranque, los sistemas afectados corren un riesgo cada vez mayor porque no se pueden instalar nuevas mitigaciones. Con el tiempo, también pueden surgir problemas de compatibilidad porque es posible que no se puedan cargar nuevos sistemas operativos, firmware, hardware o software que dependen del arranque seguro».
Al mismo tiempo, la compañía dijo que también está fortaleciendo las protecciones predeterminadas de Windows a través de dos iniciativas de seguridad: el modo de seguridad básico de Windows y la transparencia y el consentimiento del usuario. Esta actualización se encuentra dentro del alcance de Secure Future Initiative y Windows Resiliency Initiative.
«El modo de seguridad básico de Windows hará que Windows funcione con las protecciones de integridad del tiempo de ejecución habilitadas de forma predeterminada», dice el informe. «Estas salvaguardas garantizan que sólo se permitan la ejecución de aplicaciones, servicios y controladores debidamente firmados, lo que ayuda a proteger los sistemas contra manipulaciones y cambios no autorizados».
La Transparencia y Consentimiento del Usuario es similar al marco de Transparencia, Consentimiento y Control (TCC) en Apple macOS y tiene como objetivo introducir un enfoque consistente para manejar las decisiones de seguridad. El sistema operativo muestra un mensaje al usuario cuando una aplicación intenta acceder a recursos confidenciales como archivos, cámara, micrófono o instalar otro software no deseado.
«Estas indicaciones están diseñadas para ser claras y prácticas, y siempre puedes revisar y cambiar tus selecciones más tarde», dijo Logan Iyer, ingeniero distinguido de Microsoft. «También se espera que las aplicaciones y los agentes de IA cumplan con estándares de transparencia más altos, brindando tanto a los usuarios como a los administradores de TI una mejor visibilidad de sus acciones».
Source link
