Microsoft publicó el martes parches para un conjunto de 84 nuevas vulnerabilidades de seguridad que afectan a varios componentes de software, incluidas dos que ya se habían catalogado como de conocimiento público.
De estas, ocho están clasificadas como Críticas y 76 como Importantes. Cuarenta y seis de las vulnerabilidades corregidas están relacionadas con la escalada de privilegios, seguidas de 18 de ejecución remota de código, 10 de divulgación de información, cuatro de suplantación de identidad, cuatro de denegación de servicio y dos de fallos de omisión de funciones de seguridad.
Estas correcciones se suman a las 10 vulnerabilidades que se han solucionado en su navegador Edge basado en Chromium desde el lanzamiento de la actualización Patch Tuesday de febrero de 2026 .
Las dos vulnerabilidades de día cero divulgadas públicamente son CVE-2026-26127 (puntuación CVSS: 7,5), una vulnerabilidad de denegación de servicio en .NET, y CVE-2026-21262 (puntuación CVSS: 8,8), una vulnerabilidad de elevación de privilegios en SQL Server.
La vulnerabilidad con la puntuación CVSS más alta en la actualización de este mes es una falla crítica de ejecución remota de código en el Programa de Precios de Dispositivos de Microsoft. Según Microsoft, la vulnerabilidad CVE-2026-21536 (puntuación CVSS: 9.8) se ha solucionado por completo y no requiere ninguna acción por parte de los usuarios. La plataforma autónoma de detección de vulnerabilidades XBOW, impulsada por inteligencia artificial (IA), fue la responsable de descubrir y reportar el problema.
«Este mes, más de la mitad (55%) de todas las vulnerabilidades CVE detectadas el martes de parches fueron errores de escalada de privilegios, y de ellas, seis se consideraron más propensas a ser explotadas en el componente de gráficos de Windows, la infraestructura de accesibilidad de Windows, el kernel de Windows, el servidor SMB de Windows y Winlogon», dijo Satnam Narang, ingeniero sénior de investigación de Tenable.
«Sabemos que estos fallos suelen ser utilizados por ciberdelincuentes como parte de sus actividades posteriores a la intrusión, una vez que acceden a los sistemas por otros medios (ingeniería social, explotación de otra vulnerabilidad).»
La vulnerabilidad de escalada de privilegios de Winlogon ( CVE-2026-25187 , puntuación CVSS: 7.8), en particular, aprovecha una resolución de enlaces incorrecta para obtener privilegios de SYSTEM. Se ha reconocido al investigador de Google Project Zero, James Forshaw, por haber informado sobre esta vulnerabilidad.
«Esta vulnerabilidad permite que un atacante autenticado localmente con privilegios bajos explote una condición de seguimiento de enlaces en el proceso Winlogon y escale a privilegios de SYSTEM», declaró Jacob Ashdown, ingeniero de ciberseguridad de Immersive. «La vulnerabilidad no requiere interacción del usuario y tiene una baja complejidad de ataque, lo que la convierte en un objetivo sencillo una vez que el atacante logra acceder al sistema».
Otra vulnerabilidad destacable es CVE-2026-26118 (puntuación CVSS: 8,8), un fallo de falsificación de solicitudes del lado del servidor en el protocolo de contexto del modelo (MCP) de Azure que podría permitir a un atacante autorizado elevar sus privilegios en una red.
«Un atacante podría explotar esta vulnerabilidad enviando datos de entrada especialmente diseñados a una herramienta del servidor Azure Model Context Protocol (MCP) que acepte parámetros proporcionados por el usuario», declaró Microsoft.
Si el atacante puede interactuar con el agente respaldado por MCP, puede enviar una URL maliciosa en lugar de un identificador de recurso de Azure normal. El servidor MCP envía entonces una solicitud saliente a esa URL y, al hacerlo, puede incluir su token de identidad administrada. Esto permite al atacante capturar dicho token sin necesidad de acceso administrativo.
La explotación exitosa de esta vulnerabilidad podría permitir a un atacante obtener los permisos asociados a la identidad administrada del servidor MCP. El atacante podría entonces aprovechar este comportamiento para acceder o realizar acciones en cualquier recurso al que la identidad administrada tenga autorización para acceder.
Entre los errores críticos resueltos por Microsoft se encuentra una vulnerabilidad de divulgación de información en Excel. Identificada como CVE-2026-26144 (puntuación CVSS de 7,5), se ha descrito como un caso de secuencias de comandos entre sitios (XSS) que se produce como resultado de una neutralización incorrecta de la entrada durante la generación de páginas web.
El fabricante de Windows afirmó que un atacante que explotara esta vulnerabilidad podría provocar que el modo Agente Copilot extrajera datos como parte de un ataque sin necesidad de hacer clic.
«Las vulnerabilidades en la divulgación de información son especialmente peligrosas en entornos corporativos donde los archivos de Excel a menudo contienen datos financieros, propiedad intelectual o registros operativos», dijo Alex Vovk, director ejecutivo y cofundador de Action1, en un comunicado.
«Si se explotara esta vulnerabilidad, los atacantes podrían extraer silenciosamente información confidencial de los sistemas internos sin activar alertas evidentes. Las organizaciones que utilizan funciones de productividad asistidas por IA podrían enfrentarse a una mayor exposición, ya que los agentes automatizados podrían transmitir involuntariamente datos sensibles fuera de los límites corporativos.»
Estas actualizaciones llegan después de que Microsoft anunciara que está cambiando el comportamiento predeterminado de Windows Autopatch al habilitar las actualizaciones de seguridad en caliente para ayudar a proteger los dispositivos a un ritmo más rápido.
«Este cambio en el comportamiento predeterminado se aplicará a todos los dispositivos compatibles con Microsoft Intune y a aquellos que accedan al servicio a través de la API de Microsoft Graph a partir de la actualización de seguridad de Windows de mayo de 2026», declaró Redmond . «Aplicar las correcciones de seguridad sin esperar a que se reinicie el sistema puede permitir a las organizaciones alcanzar un 90 % de cumplimiento en la mitad de tiempo, manteniendo el control».
FUENTE: THNEWS