Microsoft lanzó el martes parches para un conjunto de 84 nuevas vulnerabilidades de seguridad que afectan a varios componentes de software, incluidas dos que figuran como conocidas públicamente.
De ellos, 8 están calificados como «críticos» y 76 como «importantes». Cuarenta y seis de las vulnerabilidades parcheadas están relacionadas con la escalada de privilegios, seguida de la ejecución remota de código (18), la divulgación de información (10), la suplantación de identidad (4), la denegación de servicio (4) y fallas de omisión de funciones de seguridad (2).
Esta solución se suma a 10 vulnerabilidades que se han solucionado en el navegador Edge basado en Chromium desde el lanzamiento de la actualización del martes de parches de febrero de 2026.
Los dos días cero divulgados públicamente son CVE-2026-26127, una vulnerabilidad de denegación de servicio de .NET (puntuación CVSS: 7,5) y CVE-2026-21262, una vulnerabilidad de elevación de privilegios de SQL Server (puntuación CVSS: 8,8).
La vulnerabilidad con la puntuación CVSS más alta en la actualización de este mes es la falla crítica de ejecución remota de código en el programa de precios de dispositivos de Microsoft. Según Microsoft, CVE-2026-21536 (puntuación CVSS: 9,8) está completamente mitigado y no requiere ninguna acción por parte del usuario. A XBOW, una plataforma autónoma de descubrimiento de vulnerabilidades impulsada por inteligencia artificial (IA), se le atribuye el mérito de descubrir e informar el problema.
«Este mes, más de la mitad (55%) de todos los CVE de Patch Tuesday fueron errores de escalada de privilegios, seis de los cuales fueron calificados como susceptibles de ser explotados en los componentes gráficos de Windows, la infraestructura de accesibilidad de Windows, el kernel de Windows, el servidor SMB de Windows y Winlogon», dijo Satnam Narang, ingeniero senior de investigación de Tenable.
«Descubrimos que los atacantes suelen utilizar estos errores como parte de sus actividades posteriores al compromiso una vez que han ingresado al sistema a través de otros medios (ingeniería social, explotación de otra vulnerabilidad)».
Específicamente, la falla de escalada de privilegios de Winlogon (CVE-2026-25187, puntuación CVSS: 7.8) aprovecha la resolución inadecuada de enlaces para obtener privilegios del SISTEMA. Al investigador de Google Project Zero, James Forshaw, se le atribuye haber informado de esta vulnerabilidad.
«Esta vulnerabilidad permite a un atacante autenticado localmente con privilegios bajos explotar la condición de seguimiento de enlaces del proceso Winlogon y escalar a privilegios del SISTEMA», dijo Jacob Ashdown, ingeniero de ciberseguridad de Immersive. «Esta vulnerabilidad no requiere la interacción del usuario y tiene una baja complejidad de ataque, lo que la convierte en un objetivo fácil para los atacantes».
Otra vulnerabilidad notable es CVE-2026-26118 (puntuación CVSS: 8,8). Se trata de un error de falsificación de solicitudes del lado del servidor en el servidor Azure Model Context Protocol (MCP) que podría permitir a un atacante autorizado escalar privilegios a través de la red.
«Un atacante podría aprovechar este problema enviando entradas especialmente diseñadas a la herramienta del servidor Azure Model Context Protocol (MCP) que acepta parámetros especificados por el usuario», dijo Microsoft.
«Si un atacante puede interactuar con un agente respaldado por MCP, podría enviar una URL maliciosa en lugar de un identificador de recurso normal de Azure. Luego, el servidor MCP envía una solicitud saliente a esa URL, que puede incluir un token de identidad administrado. Esto permite al atacante obtener ese token sin requerir acceso administrativo».
La explotación exitosa de esta vulnerabilidad podría permitir a un atacante obtener privilegios asociados con la identidad administrada de un servidor MCP. Un atacante podría utilizar este comportamiento para acceder o realizar acciones en recursos a los que la identidad administrada está autorizada a acceder.
Entre los errores de alta gravedad resueltos por Microsoft se encuentra una falla de divulgación de información en Excel. Registrado como CVE-2026-26144 (puntuación CVSS 7,5), se describe como un caso de secuencias de comandos entre sitios que se produce como resultado de una invalidación inadecuada de la entrada durante la generación de una página web.
El fabricante de Windows dijo que un atacante podría aprovechar esta falla para filtrar datos en el modo Copilot Agent como parte de un ataque sin clic.
«Las vulnerabilidades de divulgación de información son especialmente peligrosas en entornos corporativos, donde los archivos Excel a menudo contienen datos financieros, propiedad intelectual y registros comerciales», dijo Alex Vovk, director ejecutivo y cofundador de Action1, en un comunicado.
«Si es explotado, un atacante podría extraer silenciosamente información confidencial de los sistemas internos sin ninguna advertencia obvia. Las organizaciones que utilizan funciones de productividad asistidas por IA corren un mayor riesgo ya que los agentes automatizados pueden enviar involuntariamente datos confidenciales fuera del perímetro corporativo».
El parche se produce después de que Microsoft anunciara que cambiaría el comportamiento predeterminado de Windows Autopatch al permitir actualizaciones de seguridad con parches activos para ayudar a proteger los dispositivos a un ritmo más rápido.
«Este cambio en el comportamiento predeterminado se aplicará a todos los dispositivos a los que se dirige Microsoft Intune y a los dispositivos que acceden al servicio a través de la API de Microsoft Graph a partir de la actualización de seguridad de Windows de mayo de 2026», dijo Redmond. «Al aplicar correcciones de seguridad sin esperar a que se reinicie, las organizaciones pueden lograr un cumplimiento del 90% en la mitad del tiempo mientras mantienen el control».
Source link
