Microsoft ha publicado correcciones para vulnerabilidades de seguridad en Windows y Office que, según la compañía, los piratas informáticos están explotando activamente para ingresar a las computadoras de las personas.
Este exploit es un ataque con un solo clic, lo que significa que un pirata informático puede instalar malware u obtener acceso a la computadora de una víctima con una mínima interacción del usuario. Se podrían explotar al menos dos fallas engañando a alguien para que haga clic en un enlace malicioso en una computadora con Windows. La seguridad también puede verse comprometida al abrir archivos maliciosos de Office.
La vulnerabilidad se conoce como día cero porque los piratas informáticos explotaron el error antes de que Microsoft lo solucionara.
Microsoft dijo que se han hecho públicos los detalles de cómo podría explotarse el error, lo que podría aumentar la probabilidad de piratería. Microsoft no dijo dónde se publicaron y un portavoz de Microsoft no hizo comentarios de inmediato a TechCrunch. En un informe de error, Microsoft reconoció que los investigadores de seguridad del grupo Threat Intelligence de Google ayudaron a descubrir la vulnerabilidad.
Microsoft dijo que uno de los errores, oficialmente rastreado como CVE-2026-21510, se encontró en el shell de Windows que sustenta la interfaz de usuario del sistema operativo. La compañía dice que el error afecta a todas las versiones compatibles de Windows. Si una víctima hace clic en un enlace malicioso desde su computadora, el error permite a los piratas informáticos eludir la función SmartScreen de Microsoft, que normalmente detecta enlaces y archivos maliciosos en busca de malware.
El experto en seguridad Dustin Childs dijo que el error podría explotarse para instalar malware de forma remota en la computadora de la víctima.
«Aquí se requiere la interacción del usuario, ya que el cliente debe hacer clic en el enlace o archivo de acceso directo», escribió Childs en una publicación de blog. «Aun así, los errores en los que el código se ejecuta con un solo clic son raros».
Un portavoz de Google reconoció que el error de Windows Shell está siendo «explotado amplia y activamente» y dijo que un ataque exitoso podría permitir que el malware se ejecute silenciosamente con privilegios elevados, «creando un alto riesgo de compromiso posterior del sistema, implementación de ransomware y recopilación de inteligencia».
Otro error de Windows, rastreado como CVE-2026-21513, se encontró en MSHTML, el motor de navegador patentado de Microsoft que impulsa el desaparecido navegador Internet Explorer. Todavía se incluye en las versiones más recientes de Windows para garantizar la compatibilidad con aplicaciones anteriores.
Microsoft dijo que el error podría permitir a los piratas informáticos eludir las funciones de seguridad de Windows e introducir malware.
Según el reportero de seguridad independiente Brian Krebs, Microsoft también corrigió otros tres errores de día cero en el software que estaban siendo explotados activamente por los piratas informáticos.
Source link
