Microsoft Corp. publicó hoy actualizaciones de seguridad para corregir al menos 77 vulnerabilidades en sus sistemas operativos Windows y otros software. No hay flacos 'zero-day' críticos este mes (en comparación con los cinco flacos 'zero-day' del mes pasado), pero como siempre, algunas correcciones merecen mayor atención inmediata de parte de las organizaciones que usan Windows.
Aquí están algunos puntos destacados de esta edición del Patch Tuesday:
- Dos de los errores parcheados hoy por Microsoft fueron previamente revelados públicamente. CVE-2026-21262 es una debilidad que permite a un atacante elevar sus privilegios en SQL Server 2016 y las ediciones posteriores. 'Este no es solo un error de escalado de privilegios cualquiera; la advertencia nota que un atacante autorizado puede elevar los privilegios al nivel sysadmin a través de una red,' dijo Adam Barnett, ingeniero de seguridad en Rapid7. 'La puntuación base CVSS v3 de 8.8 está apenas por debajo del umbral de gravedad crítica, ya que se requieren privilegios de bajo nivel. Sería un defensor valiente quien rascara y aplazara las correcciones para este.'
- El otro error revelado públicamente es CVE-2026-26127, una vulnerabilidad en aplicaciones ejecutadas sobre .NET. Barnett dijo que el impacto inmediato de la explotación probablemente esté limitado a un denegación de servicio al provocar un fallo, con potenciales ataques de otros tipos durante una reinstalación del servicio.
- Casi no habría un Patch Tuesday sin al menos un exploit crítico de Microsoft Office, y este mes cumple con las expectativas. CVE-2026-26113 y CVE-2026-26110 son ambos fallos de ejecución remota de código que pueden activarse simplemente al visualizar un mensaje engañoso en la ventana Vista previa.
- Satnam Narang de Tenable señala que más del 55% de todas las vulnerabilidades de Patch Tuesday este mes son bugs de escalado de privilegios, y entre ellos, una docena fueron calificadas como 'más probable la explotación' — a lo largo del Componente Gráfico Windows, Infraestructura de Accesibilidad de Windows, Kernel de Windows, Servidor SMB de Windows y Winlogon.
- Estos incluyen: – CVE-2026-24291: Asignaciones incorrectas de permisos en la infraestructura de accesibilidad de Windows para llegar al nivel SYSTEM (CVSS 7.8)
– CVE-2026-24294: Autenticación inadecuada en el componente SMB central (CVSS 7.8)
– CVE-2026-24289: Fallo de corrupción de memoria y condición de carrera grave (CVSS 7.8)
– CVE-2026-25187: Debilidad del proceso Winlogon descubierta por Google Project Zero (CVSS 7.8).
- Ben McCarthy, ingeniero líder de seguridad cibernética en Immersive, se hizo eco de CVE-2026-21536, un grave fallo de ejecución remota de código en una componente llamada Programa de Precios de Dispositivos Microsoft. Aunque Microsoft ya ha resuelto el problema desde su lado y la corrección requiere ninguna acción por parte de los usuarios de Windows, McCarthy señala que es notable como uno de los primeros flacos identificados por un agente de inteligencia artificial y oficialmente reconocido con una CVE atribuida al sistema operativo Windows. Fue descubierto por XBOW, un agente de prueba de penetración autónomo AI.
- Aunque Microsoft ya ha parcheado y mitigado la vulnerabilidad, destaca el cambio hacia la detección impulsada por IA de complejas vulnerabilidades a una velocidad creciente. 'Este desarrollo sugiere que la investigación de vulnerabilidades con ayuda de IA desempeñará un papel cada vez mayor en el paisaje de la seguridad cibernética,' dijo McCarthy.