Actualizaciones de seguridad de JULIO para todas las empresas, murió el CVSS ~ Segu-Info

Microsoft
publicó
hoy su mayor actualización de seguridad hasta la fecha, y dos de las
correcciones solucionan vulnerabilidades que los atacantes ya estaban
explotando. La actualización cubre 622 vulnerabilidades propias de Microsoft,
más del triple del máximo anterior de junio, que rondaba las 200.

Debido a la cantidad de CVE, ordenar por criticidad de CVSS deja de tener sentido. Se debe ordenar según la vulnerabilidad que se esté explotando, usando KEV, EPSS y la bandera de vulnerabilidades de Microsoft, no por puntuación, y aplica parches más rápido que antes.

A continuación se muestra el número aproximado de errores en cada categoría de
vulnerabilidad:

  • 254 Vulnerabilidades de elevación de privilegios
  • 17 Vulnerabilidades de omisión de funciones de seguridad
  • 145 Vulnerabilidades de ejecución remota de código
  • 102 Vulnerabilidades de divulgación de información
  • 35 Vulnerabilidades de denegación de servicio
  • 16 Vulnerabilidades de suplantación de identidad

Además, Google corrigió 468 fallos en Microsoft Edge/Chromium este mes, los
cuales no se incluyeron en este resumen de actualizaciones de seguridad. Como
parte de las actualizaciones de seguridad de junio del mes pasado,
Google corrigió 360 fallos
que posteriormente se implementaron en Microsoft Edge.

3 Vulnerabilidades de día cero, 2 explotadas

En la actualización de seguridad de este mes, se corrigen tres
vulnerabilidades de día cero: dos explotadas en ataques y una divulgada
públicamente. Las dos vulnerabilidades de día cero explotadas activamente
que se corrigen en la actualización de seguridad de este mes son:

  • CVE-2026-56164, una vulnerabilidad de SharePoint Server que, según Microsoft, está
    siendo explotada activamente, permite a un atacante no autenticado
    escalar privilegios en la red. Sin credenciales, sin interacción del
    usuario y de forma remota. Microsoft atribuyó el descubrimiento a los
    responsables de respuesta a incidentes de Mandiant y al equipo FLARE de
    Google.
    Si utiliza SharePoint autohospedado, esta es la vulnerabilidad que
    debe actualizarse primero, y hay un segundo plazo: hoy también
    finaliza el soporte extendido para SharePoint Server 2016 y 2019.

    A diferencia de Windows Server o SQL Server, ninguno de los dos cuenta
    con un programa ESU de pago.
    Además de parchear, el aviso de
    Microsoft señala que habilitar AMSI en modo completo en el servidor
    reduce la efectividad del ataque. SharePoint ha sido un objetivo
    prioritario para los atacantes desde que la
    cadena ToolShell
    arrasó con servidores sin parchear en 2025, y sigue siéndolo.
  • La vulnerabilidad
    CVE-2026-56155, que Microsoft también identifica como explotada en los Servicios de
    federación de Active Directory (AD FS), permite a un atacante ya
    autenticado elevar privilegios localmente mediante controles de acceso
    débiles.
    AD FS es el servidor que gestiona los tokens para el resto
    de los fideicomisos de la red, por lo que una vulnerabilidad etiquetada
    como «local» en ese servidor merece mayor atención de la que sugiere su
    denominación. Microsoft no ha especificado qué privilegios otorga ni
    cómo la utilizaron los atacantes.

La vulnerabilidad de día cero divulgada públicamente que fue corregida es:
CVE-2026-50661, una omisión de la función de seguridad BitLocker de Windows. Según
se ha divulgado públicamente, podría permitir a los atacantes acceder a
datos cifrados.
«Un atacante que logre eludir la función de cifrado de dispositivo
BitLocker en el dispositivo de almacenamiento del sistema. Un atacante con
acceso físico al objetivo podría explotar esta vulnerabilidad para acceder
a los datos cifrados»
, explica Microsoft.

Microsoft reconoce la importancia de las respuestas a incidentes para ambas
vulnerabilidades explotadas. Se trata de fallos de elevación de privilegios
en la infraestructura de identidad y colaboración: CVE-2026-56164 en
SharePoint Server local y CVE-2026-56155 en los Servicios de Federación de
Active Directory.

Ninguna de estas dos vulnerabilidades críticas es de ejecución remota de
código. Son fallos de privilegios en dos sistemas que son más importantes de
lo que sugieren sus puntuaciones: el repositorio de documentos de la empresa y
el servidor que firma los inicios de sesión.

El tercer fallo de día cero se hizo público, pero no está siendo explotado es:
CVE-2026-50661, otra vulnerabilidad que permite eludir BitLocker. Requiere acceso físico al
dispositivo, por lo que no se trata de una emergencia remota. Se parchea, pero
no tiene prioridad. 

SharePoint recibió una segunda corrección importante. Rapid7 Labs reveló
CVE-2026-55040, una vulnerabilidad que permite eludir la autenticación JWT que
desarrollaron para su participación en Pwn2Own Berlin. La puntuación varía
según la fuente: Rapid7 le otorga una puntuación de 5.3 y afirma que Microsoft
le asignó una gravedad media, mientras que
ZDI la clasifica como crítica
con una puntuación de 9.1.

Su funcionamiento es indiscutible. Rapid7 la encadenó a un fallo de ejecución
remota de código independiente para lograr la ejecución remota de código sin
autenticación contra un servidor vulnerable, y la parte de ejecución remota de
código aún no se ha parcheado.
Microsoft tiene previsto solucionarlo en agosto.

La limpieza de RC4 que puede provocar fallos en los inicios de sesión

Esta actualización también finaliza el endurecimiento de Kerberos RC4 que
Microsoft ha estado implementando durante varios años.

El despliegue de julio elimina el interruptor de reversión
RC4DefaultDisablementPhase, la vía de escape que los administradores
han utilizado desde que Microsoft comenzó las medidas de seguridad en enero.

A partir de ahora, RC4 solo funcionará para las cuentas configuradas
explícitamente para permitirlo. Si alguna cuenta de servicio en su entorno aún
solicita tickets Kerberos RC4, la autenticación podría fallar en el momento en
que se implemente la actualización.

El orden es importante: primero, auditar utilizando los eventos de auditoría
de RC4 que Microsoft añadió en enero; luego, rotar las contraseñas de las
cuentas de servicio marcadas para que Windows genere claves AES; y,
finalmente, aplicar el parche. La rotación solo corrige las cuentas que
carecen de claves AES.

Cualquier sistema configurado para usar RC4, o un cliente antiguo que solo
admita RC4, necesita una corrección antes de que se implemente la
actualización.

Esta corrección no provoca una brecha de seguridad; causa problemas, pero te
avisará a las 2 de la madrugada si omites la auditoría.

Por qué un mes tranquilo batió un récord

Julio es históricamente uno de los meses con menos actualizaciones en el
calendario de Microsoft, lo que hace que una actualización de este tamaño
destaque. Solo Windows representa 416 de las 622 vulnerabilidades, y
ZDI contabilizó 95 vulnerabilidades de ejecución remota de código en toda
la actualización.

En una
publicación del 9 de julio, Microsoft comunicó a sus clientes que esperaran un
«mayor volumen de actualizaciones de seguridad incluidas en cada versión a
medida que la IA le ayuda a descubrir más problemas»
. Este trabajo incluye
MDASH, su sistema de escaneo multimodal con agentes, que encontró 16 de las
vulnerabilidades en el Patch Tuesday de mayo por sí solo. Microsoft no ha
especificado cuántas de las 622 de julio surgieron de este proceso.

La misma automatización funciona en ambos sentidos. Una vez que se publica un
parche, los atacantes pueden compararlo con la última versión, encontrar el
error que corrige y crear un exploit funcional antes de que la mayoría
de las empresas hayan terminado las pruebas. Esto elimina el antiguo margen de
tiempo de espera y reduce la brecha hasta el
«Miércoles de Explotación».

También debilita el análisis basado en CVSS. Cuando una versión contiene
más de 600 CVE y una gran parte se clasifica como Alta o Crítica, la
categoría «Crítica» deja de ser relevante para la clasificación.
Los dos errores explotados este mes lo demuestran: ninguno es una
vulnerabilidad grave de la versión 9.8, ambos son fallos de privilegio de
nivel medio y ambos ya están en uso.

Actualizaciones recientes de otras compañías

Otros proveedores que publicaron actualizaciones o avisos en mayo de 2026 incluyen:


Ver fuente

Related Post