Microsoft lanzó el martes parches para 138 vulnerabilidades de seguridad en su cartera de productos, pero ninguna figura como conocida públicamente o bajo ataque activo.
De los 138 defectos, 30 fueron calificados como críticos, 104 como importantes, 3 como moderados y 1 como bajo. Hasta 61 vulnerabilidades se clasificaron como errores de elevación de privilegios, seguidas de 32 de ejecución remota de código, 15 de divulgación de información, 14 de suplantación de identidad, ocho de denegación de servicio, seis de omisión de funciones de seguridad y dos fallas de manipulación.
La lista de actualizaciones también incluye una vulnerabilidad (CVE-2025-54518, puntuación CVSS: 7.3) que AMD parchó este mes. Esto se relaciona con un caso de aislamiento inadecuado de recursos compartidos en la caché de operación de la CPU de productos basados en Zen 2, lo que podría permitir a un atacante corromper instrucciones que se ejecutan en un nivel de privilegio diferente, lo que resultaría en una escalada de privilegios.
El parche también se suma a los 127 fallos de seguridad que Google ha solucionado en Chromium, que forma la base del navegador Edge de Microsoft.
Una de las vulnerabilidades más graves parcheadas por Redmond es CVE-2026-41096 (puntuación CVSS: 9,8). Se trata de una falla de desbordamiento del búfer basada en el montón que afecta al DNS de Windows y que podría permitir que un atacante no autorizado ejecute código a través de la red.
«Un atacante podría explotar esta vulnerabilidad enviando una respuesta DNS especialmente diseñada a un sistema Windows vulnerable, lo que podría causar que el cliente DNS maneje mal la respuesta y corrompa la memoria», dijo Microsoft. «En ciertas configuraciones, esto podría permitir a un atacante ejecutar código de forma remota en un sistema afectado sin autenticación».
También se han solucionado varios defectos calificados como críticos e importantes por Microsoft:
CVE-2026-33109 (puntuación CVSS: 9,9): controles de acceso inadecuados en Instancia administrada de Azure para Apache Cassandra permiten que un atacante autorizado ejecute código a través de la red. (No se requiere ninguna acción por parte del cliente) CVE-2026-42898 (puntuación CVSS: 9,9): una vulnerabilidad de inyección de código en Microsoft Dynamics 365 (local) permite a un atacante autorizado ejecutar código a través de la red. CVE-2026-42823 (puntuación CVSS: 9,9): los controles de acceso inadecuados en Azure Logic Apps permiten a un atacante autorizado escalar privilegios a través de la red. CVE-2026-41089 (puntuación CVSS: 9,8): desbordamiento del búfer basado en pila en Windows Netlogon. Esto permite que un atacante no autorizado ejecute código a través de la red sin necesidad de iniciar sesión o acceso previo enviando una solicitud de red especialmente diseñada a un servidor Windows que actúa como controlador de dominio. CVE-2026-33823 (Puntuación CVSS: 9,6): la autorización inadecuada en Microsoft Teams permite a un atacante autorizado revelar información a través de la red. (No se requiere ninguna acción del cliente) CVE-2026-35428 (puntuación CVSS: 9,6): una vulnerabilidad de inyección de comandos en Azure Cloud Shell permite a un atacante sin privilegios realizar suplantación de identidad en la red. (No se requiere ninguna acción por parte del cliente) CVE-2026-40379 (puntuación CVSS: 9,3): Azure Entra ID filtra información confidencial a un atacante no autorizado, lo que le permite realizar suplantación de identidad en la red. (No se requiere ninguna acción por parte del cliente) CVE-2026-40402 (puntuación CVSS: 9,3): el usuario Afterfree en Windows Hyper-V permite a un atacante no autorizado obtener privilegios del SISTEMA y acceder a un entorno host de Hyper-V. CVE-2026-41103 (Puntuación CVSS: 9.1): el algoritmo de autenticación en el complemento SSO de Microsoft para Jira y Confluence está implementado incorrectamente, lo que permite a un atacante no autorizado obtener acceso no autorizado a Jira o Confluence como un usuario válido y realizar acciones con los mismos privilegios que la cuenta comprometida. CVE-2026-33117 (puntuación CVSS: 9,1): la autenticación incorrecta en el SDK de Azure permite a atacantes sin privilegios eludir las funciones de seguridad a través de la red. CVE-2026-42833 (puntuación CVSS: 9,1): la ejecución con privilegios innecesarios en Microsoft Dynamics 365 (local) permite a un atacante autorizado ejecutar código e interactuar con aplicaciones y contenido en otros inquilinos a través de la red. CVE-2026-33844 (puntuación CVSS: 9,0): la validación de entrada incorrecta en Instancia administrada de Azure para Apache Cassandra permite que un atacante autorizado ejecute código a través de la red. (No requiere ninguna acción por su parte)
Adam Barnett, ingeniero de software líder en Rapid7, dijo sobre CVE-2026-41103: «Esta vulnerabilidad crítica de escalada de privilegios permite a un atacante no autorizado hacerse pasar por un usuario existente y eludir Entra ID presentando credenciales falsificadas».
Jack Bicer, director de investigación de vulnerabilidades de Action1, describió CVE-2026-42898 como una falla crítica que permite a un atacante autenticado con bajos privilegios ejecutar código arbitrario en la red manipulando los datos de la sesión del proceso dentro de Dynamics CRM.
«Esta vulnerabilidad plantea un riesgo significativo para las empresas porque no requiere interacción del usuario y puede impactar el sistema más allá del alcance de seguridad original del componente vulnerable. Un atacante con sólo acceso básico podría convertir un servidor de aplicaciones empresariales en una plataforma de ejecución remota», dijo Beisser.
«Un compromiso de la infraestructura de Dynamics 365 puede exponer registros de clientes, flujos de trabajo operativos, información financiera y sistemas comerciales integrados. Debido a que los entornos CRM a menudo están conectados a servicios de identidad, bases de datos y aplicaciones empresariales, una explotación exitosa podría llevar a un compromiso organizacional generalizado y a una interrupción operativa».
También recomendamos que las organizaciones renueven sus certificados de arranque seguro de Windows a certificados 2023 antes de que expiren los certificados emitidos en 2011 el próximo mes. Microsoft anunció este cambio por primera vez en noviembre de 2025.
«Las actualizaciones más importantes que no son CVE incluyen la implementación forzada de certificados de arranque seguro actualizados», dijo Rain Baker, especialista senior en respuesta a incidentes de Nightwing. «Los dispositivos que no reciban estas actualizaciones antes de la fecha límite del 26 de junio enfrentarán una ‘falla de seguridad catastrófica a nivel de arranque’ o una condición de seguridad degradada. Asegúrese de que toda su flota haya rotado exitosamente al nuevo ancla de confianza antes de la fecha límite del 26 de junio de 2026».
Microsoft ya ha parcheado más de 500 CVE después de cinco meses de este año, según Satnam Nanang, ingeniero senior de investigación de Tenable. Esta gran cantidad de correcciones refleja una tendencia más amplia de la industria en la que el descubrimiento de vulnerabilidades está alcanzando nuevos máximos, muchos de los cuales están señalados por enfoques impulsados por inteligencia artificial (IA).
Se espera que el descubrimiento de vulnerabilidades asistido por IA aumente la escala de los lanzamientos de Patch Tuesday en los próximos meses, dijo Microsoft en un informe el martes, y agregó que 16 de las fallas solucionadas este mes en la red de Windows y la pila de autenticación se identificaron a través de un nuevo sistema de descubrimiento de vulnerabilidades multimodelo impulsado por IA cuyo nombre en código es MDASH (por Multi-Model Agenttic Scan Harness).
«Microsoft descubrió un porcentaje mayor de los problemas abordados en las versiones de este mes en comparación con los meses anteriores», dijo Tom Gallagher, vicepresidente de ingeniería del Centro de respuesta de seguridad de Microsoft. «Muchos de estos se descubrieron a través de inversiones e investigaciones en IA por parte de nuestros equipos de ingeniería e investigación, incluido el uso del nuevo arnés de escaneo multimodelo impulsado por IA de Microsoft».
Microsoft también enfatizó que la escala y la velocidad del descubrimiento de vulnerabilidades impulsado por la IA pueden aumentar las demandas operativas, lo que requiere un enfoque consistente y disciplinado de la gestión de riesgos para mitigar y remediar rápidamente los problemas de manera oportuna.
«Manténgase actualizado sobre los sistemas operativos, productos y parches compatibles, y reconsidere la velocidad y la coherencia de los parches», dijo Gallagher. «Nosotros clasificamos por exposición e impacto, no por números brutos».
Otras recomendaciones descritas por Microsoft incluyen reducir la exposición innecesaria a Internet, mejorar el estado de la configuración, eliminar la autenticación tradicional, habilitar la autenticación multifactor (MFA), aplicar controles de acceso estrictos, segmentar su entorno para contener incidentes e invertir en detección y respuesta.
«Nuestros esfuerzos para descubrir y remediar vulnerabilidades continúan volviéndose más rápidos, más generalizados y más rigurosos en toda la industria», dijo el gigante tecnológico. «Lo siguiente que alentamos es una cuidadosa consideración de si las prácticas que funcionaron bien en paisajes parcheados hace unos años todavía encajan bien con el rumbo que lleva el paisaje».
«Los fundamentos no han cambiado. El ritmo al que necesitamos adaptarnos ha cambiado, y las organizaciones que se adapten estarán mejor posicionadas para lo que viene después».
Source link
