El martes parches de abril de 2026 de Microsoft ha dejado actualizaciones de
seguridad para 169 vulnerabilidades, incluyendo 2 Zero-Days. Este Patch
Tuesday también aborda ocho vulnerabilidades «críticas», 7 de las
cuales son vulnerabilidades de ejecución remota de código y la otra es una
vulnerabilidad de denegación de servicio.
El número de errores en cada categoría de vulnerabilidad se detalla a
continuación:
- 93 vulnerabilidades de elevación de privilegios
- 13 vulnerabilidades de omisión de funciones de seguridad
- 20 vulnerabilidades de ejecución remota de código
- 21 vulnerabilidades de divulgación de información
- 10 vulnerabilidades de denegación de servicio
- 9 vulnerabilidades de suplantación de identidad
Entre las 169 vulnerabilidades también se incluyen cuatro CVE no emitidas por
Microsoft que afectan a AMD (CVE-2023-20585), Node.js (CVE-2026-21637),
Windows Secure Boot (CVE-2026-25250) y Git para Windows (CVE-2026-32631).
Estas actualizaciones se suman a las
78 vulnerabilidades
que se han corregido en su navegador Edge basado en Chromium desde la
actualización lanzada el mes pasado.
Para obtener más información sobre las actualizaciones no relacionadas con la
seguridad publicadas hoy, puede consultar nuestros artículos específicos sobre
las actualizaciones acumulativas the
Windows 11 KB5083769 & KB5082052 y la actualizaciuón extendida de Windows 10 KB5082200.
Dos vulnerabilidades de día cero y fallos en Microsoft Office
Esta actualización corrige dos vulnerabilidades de día cero: una divulgada
públicamente y la otra explotada activamente en ataques.
La vulnerabilidad de día cero explotada activamente es:
- CVE-2026-32201 (CVSS 6.5). Vulnerabilidad de suplantación de
identidad en Microsoft SharePoint Server, que fue explotada en ataques.
«Una validación de entrada incorrecta en Microsoft Office SharePoint
permite a un atacante no autorizado suplantar identidades en una red», explica Microsoft.
La explotación activa de la vulnerabilidad CVE-2026-32201 ha llevado a la CISA añadirla al catálogo de Vulnerabilidades Explotadas Conocidas (KEV).
La vulnerabilidad de día cero divulgada públicamente es:
- CVE-2026-33825 (CVSS 8.5). Vulnerabilidad de elevación de privilegios en Microsoft
Defender que otorgaba privilegios de SYSTEM y se conoció públicamente com BlueHammer. La compañía ha solucionado la
vulnerabilidad en la actualización 4.18.26050.3011 de la plataforma
antimalware Microsoft Defender, que se descargará automáticamente en los
sistemas. Microsoft reconoce el descubrimiento de esta vulnerabilidad por
parte de Zen Dodd y Yuanpei XU (HUST) de Diffract.
Otros errores graves corregidos
Microsoft también ha corregido varios errores de ejecución remota de código en
Microsoft Office (Word y Excel) que podían ejecutarse a través del panel de
vista previa o al abrir documentos maliciosos. Por lo tanto, se recomienda a
los usuarios que actualicen Microsoft Office lo antes posible, especialmente
si suelen recibir archivos adjuntos.
Una de las vulnerabilidades más graves es la ejecución remota de código que afecta a las extensiones del servicio de intercambio de claves de Internet (IKE) de Windows. Identificada como CVE-2026-33824, esta vulnerabilidad tiene una puntuación CVSS de 9.8.
«Para explotarla, un atacante debe enviar paquetes especialmente diseñados a un equipo Windows con IKE v2 habilitado, lo que podría permitir la ejecución remota de código», declaró Adam Barnett, ingeniero jefe de software de Rapid7. «Las vulnerabilidades que permiten la ejecución remota de código sin autenticación en sistemas Windows modernos son relativamente raras; de lo contrario, veríamos más vulnerabilidades que se propagan por internet. Sin embargo, dado que IKE proporciona servicios seguros de negociación de túneles, por ejemplo, para VPN, está necesariamente expuesto a redes no confiables y es accesible en un contexto de preautorización».
Un atacante no autenticado puede enviar paquetes especialmente diseñados a una máquina Windows con IKE versión 2 habilitado para potencialmente permitir la ejecución remota de código. Entre las medidas de mitigación adicionales se incluye el bloqueo del tráfico entrante en los puertos UDP 500 y 4500 si IKE no está en uso.
Walters señaló que esta vulnerabilidad representa una seria amenaza para los entornos empresariales, especialmente para aquellos que dependen de VPN o IPsec para comunicaciones seguras. La explotación exitosa de esta vulnerabilidad podría comprometer completamente el sistema, permitiendo a atacantes robar datos confidenciales, interrumpir operaciones o moverse lateralmente por la red.
La falta de interacción del usuario hace que esto sea especialmente peligroso para los sistemas conectados a internet. Su baja complejidad de ataque y su impacto total en el sistema lo convierten en un objetivo ideal para su rápida utilización como arma. Los sistemas conectados a internet que ejecutan servicios IKEv2 corren un riesgo particular, y retrasar la implementación del parche aumenta la exposición a posibles ataques generalizados.
Actualizaciones para otras compañías