Ayer martes Microsoft lanzó actualizaciones de seguridad para abordar
59 fallas
en su software, incluyendo seis vulnerabilidades que, según afirma, han sido
explotadas in situ.
De las 59 fallas, cinco se consideran críticas, 52 importantes y dos
moderadas. ISC detalla el número de errores en cada categoría de
vulnerabilidad:
- 25 vulnerabilidades de elevación de privilegios
- 5 vulnerabilidades de omisión de funciones de seguridad
- 12 vulnerabilidades de ejecución remota de código
- 6 vulnerabilidades de divulgación de información
- 3 vulnerabilidades de denegación de servicio
- 7 vulnerabilidades de suplantación de identidad
Cabe destacar que estos parches se suman a
tres fallos
de seguridad que Microsoft ha abordado en su navegador Edge desde el
lanzamiento de la actualización del martes de parches de enero de 2026. Estos
fallos incluyen una vulnerabilidad moderada que afecta al navegador Edge para
Android (CVE-2026-0391, CVSS: 6,5) y que podría permitir a un atacante no autorizado realizar
suplantación de identidad a través de una red aprovechando una
«tergiversación de información crítica en la interfaz de usuario».
Esta actualización también coincide con el
lanzamiento por parte de Microsoft de Certificados de Arranque Seguro
actualizados
para reemplazar los certificados originales de 2011, que expirarán a finales
de junio de 2026. Los nuevos certificados se instalarán mediante el proceso de
actualización mensual de Windows sin necesidad de realizar ninguna acción
adicional.
Microsoft
reveló
sus planes de actualizar los Certificados de Arranque Seguro que estaban a
punto de vencer en los sistemas Windows 11 24H2 y 25H2 elegibles en enero,
luego de
una alerta de noviembre
que advertía a los administradores de TI que actualizaran los certificados de
seguridad utilizados para validar el firmware UEFI antes de que vencieran.
Vulnerabilidades explotadas activamente
Encabezando la lista de actualizaciones de este mes se encuentran seis
vulnerabilidades que se han marcado como explotadas activamente:
-
CVE-2026-21510
(CVSS: 8,8): Un fallo del mecanismo de protección en Windows Shell que
permite a un atacante no autorizado eludir una función de seguridad a través
de una red. -
CVE-2026-21513
(CVSS: 8,8): Un fallo del mecanismo de protección en MSHTML Framework que
permite
a un atacante no autorizado eludir una función de seguridad a través de una
red.
«Se debe a un fallo en el mecanismo de protección que permite a los
atacantes eludir las solicitudes de ejecución cuando los usuarios
interactúan con archivos maliciosos. Un archivo manipulado puede eludir
silenciosamente las solicitudes de seguridad de Windows y desencadenar
acciones peligrosas con un solo clic». -
CVE-2026-21514
(CVSS: 7.8): Dependencia de entradas no confiables en una decisión de
seguridad en Microsoft Office Word, lo que permite a un atacante no
autorizado eludir una función de seguridad localmente. -
CVE-2026-21519
(CVSS: 7.8): Acceso a un recurso mediante un tipo incompatible (confusión de
tipos) en el Administrador de ventanas del escritorio, lo que permite a un
atacante autorizado elevar privilegios localmente. -
CVE-2026-21525
(CVSS: 6.2): Desreferencia de puntero nulo en el Administrador de conexión
de acceso remoto de Windows, que permite a un atacante no autorizado denegar
el servicio localmente. -
CVE-2026-21533
(CVSS: 7.8): Gestión incorrecta de privilegios en el Escritorio remoto de
Windows, que permite a un atacante autorizado elevar privilegios localmente.
Satnam Narang, ingeniero sénior de investigación de Tenable, afirmó que
CVE-2026-21513 y CVE-2026-21514 presentan numerosas similitudes con
CVE-2026-21510. La principal diferencia radica en que CVE-2026-21513 también
puede explotarse mediante un archivo HTML, mientras que CVE-2026-21514 solo
puede explotarse mediante un archivo de Microsoft Office.
En cuanto a CVE-2026-21525, está vinculada a una vulnerabilidad Zero-Day que
el servicio 0patch de ACROS Security
afirmó
haber descubierto en diciembre de 2025 mientras investigaba otra falla
relacionada en el mismo componente (CVE-2025-59230).
Por su lado, CVE-2026-21519 y CVE-2026-21533 son vulnerabilidades de
escalamiento de privilegios locales, lo que significa que un atacante ya debe
haber obtenido acceso a un host vulnerable. Esto podría ocurrir mediante un
archivo adjunto malicioso, una vulnerabilidad de ejecución remota de código o
un movimiento lateral desde otro sistema comprometido.
CVE-2026-21533 tiene un vector de ataque local, baja complejidad y requisitos
de privilegios reducidos. No requiere interacción del usuario. La
vulnerabilidad surge de una gestión deficiente de privilegios en los
componentes de RDS. CrowdStrike observó un binario de explotación que modifica
una clave de registro de configuración de servicio, sustituyéndola por una
controlada por el atacante. Esta alteración permite la escalamiento de
privilegios, como la adición de un nuevo usuario al grupo Administradores, lo
que otorga privilegios completos de SYSTEM. Los atacantes necesitan acceso
local inicial con pocos privilegios, lo que la hace ideal para la explotación
posterior en entornos RDP.
Adam Meyers, de CrowdStrike,
advirtió:
«Es probable que los actores de amenazas que posean los binarios del
exploit aceleren sus intentos de usar o vender CVE-2026-21533 a corto
plazo». Aún no existe una atribución específica al adversario, pero los sistemas
RDS son objetivos prioritarios de movimiento lateral.
Este desarrollo ha llevado a CISA a
añadir las seis vulnerabilidades
a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV).
Tres vulnerabilidades críticas en Microsoft Azure
-
CVE-2026-24300 es una vulnerabilidad crítica de elevación de privilegios que
afecta a Azure Front Door y tiene una puntuación CVSS de 9,8. Esta
vulnerabilidad permite a atacantes remotos sin privilegios elevar
privilegios mediante un control de acceso inadecuado en Azure Front Door. La
vulnerabilidad no requiere la interacción del usuario. -
CVE-2026-24302 es una vulnerabilidad crítica de elevación de privilegios que
afecta a Azure Arc y tiene una puntuación CVSS de 8,6. Esta vulnerabilidad
permite a atacantes remotos sin privilegios elevar privilegios mediante un
control de acceso inadecuado en Azure Arc. La vulnerabilidad no requiere la
interacción del usuario. -
CVE-2026-21532 es una vulnerabilidad crítica de divulgación de información
que afecta a Azure Functions y tiene una puntuación CVSS de 8,2. Esta
vulnerabilidad permite a atacantes remotos sin privilegios acceder a
información confidencial mediante la exposición de dicha información a
actores no autorizados en Azure Functions. La vulnerabilidad no requiere la
interacción del usuario.
Iniciativas de seguridad por diseño
Paralelamente, la compañía afirmó que también está reforzando las protecciones
predeterminadas de Windows mediante dos iniciativas de seguridad: el Modo de
Seguridad Base de Windows y la Transparencia y Consentimiento del Usuario. Las
actualizaciones se enmarcan en la
Iniciativa de Futuro Seguro (SFI) y la
Iniciativa de Resiliencia de Windows (WRI). En este modo, Windows avanzará hacia el funcionamiento con las protecciones
de integridad en tiempo de ejecución habilitadas de forma predeterminada.
Estas protecciones garantizan que solo se puedan ejecutar aplicaciones,
servicios y controladores debidamente firmados, lo que ayuda a proteger el
sistema de manipulaciones o cambios no autorizados.
-
Seguridad por diseño: La seguridad es prioritaria al diseñar
cualquier producto o servicio. -
Seguridad por defecto: Las protecciones de seguridad están
habilitadas y se aplican por defecto, no requieren ningún esfuerzo adicional
y no son opcionales. -
Operaciones seguras: Los controles y la monitorización de la
seguridad se mejorarán continuamente para hacer frente a las ciberamenazas
actuales y futuras.
La Transparencia y Consentimiento del Usuario, similar al marco de
Transparencia, Consentimiento y Control (TCC)
de macOS de Apple, busca implementar un enfoque coherente para la gestión de
decisiones de seguridad. El sistema operativo avisará a los usuarios cuando
las aplicaciones intenten acceder a recursos confidenciales, como archivos, la
cámara o el micrófono, o cuando intenten instalar software no deseado.
También se espera que las aplicaciones y los agentes de IA cumplan con
estándares de transparencia más estrictos, lo que brindará a los usuarios y
administradores de TI una mejor visibilidad de sus comportamientos.
Además de Microsoft, en febrero publicaron actualizaciones de seguridad otros
grandes proveedores de software, entre ellos
Adobe,
Cisco, Fortinet,
SAP
y otras compañías.
Fuente:
THN