Microsoft lanzó el martes parches para un conjunto de 84 nuevas
vulnerabilidades de seguridad que afectan a varios componentes de software,
incluidas dos Zero-Days que figuran como conocidas públicamente.
Microsoft lanzó la actualización de seguridad extendida KB5078885 de Windows
10 para corregir las vulnerabilidades del martes de parches de marzo de 2026,
incluidos los 2 Zero-Days y un problema que impide que algunos dispositivos se
apaguen. Microsoft ya no lanza nuevas funciones para Windows 10 y la
actualización KB5078885
solo contiene correcciones de seguridad y correcciones de errores introducidas
por actualizaciones de seguridad anteriores.
Microsoft también ha lanzado actualizaciones acumulativas de Windows 11
KB5079473 y KB5078883 para las versiones 25H2/24H2 y 23H2 para corregir
vulnerabilidades de seguridad, errores y agregar nuevas funciones. Las
actualizaciones son obligatorias ya que contienen los parches de seguridad del
martes de parches de marzo de 2026 para vulnerabilidades descubiertas en meses
anteriores.
La cantidad de errores en cada categoría de vulnerabilidad se enumera a
continuación:
- 46 Vulnerabilidades de elevación de privilegios
- 2 vulnerabilidades de omisión de funciones de seguridad
- 18 vulnerabilidades de ejecución remota de código
- 10 vulnerabilidades de divulgación de información
- 4 vulnerabilidades de denegación de servicio
- 4 vulnerabilidades de suplantación de identidad
Las correcciones se suman a 10 vulnerabilidades que se han solucionado en su
navegador Edge basado en Chromium desde el lanzamiento de la actualización del
martes de parches de febrero de 2026.
Los dos días cero divulgados públicamente son
CVE-2026-26127
(CVSS: 7,5), una vulnerabilidad de denegación de servicio en .NET, y
CVE-2026-21262
(CVSS: 8,8), una vulnerabilidad de elevación de privilegios en SQL Server.
La vulnerabilidad con la puntuación CVSS más alta en la actualización de este
mes es una falla crítica de ejecución remota de código.
CVE-2026-21536
(CVSS: 9,8), según Microsoft, se ha mitigado por completo y no se requiere
ninguna acción por parte de los usuarios. A la plataforma autónoma de
descubrimiento de vulnerabilidades XBOW, impulsada por inteligencia artificial
(IA), se le atribuye el mérito de descubrir e informar el problema.
«Este mes, más de la mitad (55%) de todos los CVE de Patch Tuesday fueron
errores de escalamiento de privilegios, y de ellos, seis fueron clasificados
como más probables de explotación en el componente de gráficos de Windows,
la infraestructura de accesibilidad de Windows, el kernel de Windows, el
servidor SMB de Windows y Winlogon», dijo Satnam Narang, ingeniero senior de investigación de Tenable.
«Sabemos que estos errores suelen ser utilizados por actores de amenazas
como parte de una actividad posterior al compromiso, una vez que ingresan a
los sistemas a través de otros medios (ingeniería social, explotación de
otra vulnerabilidad)».
La falla de escalamiento de privilegios de Winlogon (CVE-2026-25187, CVSS: 7,8), en particular, aprovecha la resolución inadecuada de enlaces
para obtener privilegios del SYSTEM. El investigador de Google Project Zero,
James Forshaw, ha sido reconocido por informar sobre la vulnerabilidad.
«La falla permite a un atacante autenticado localmente con privilegios
bajos explotar una condición de seguimiento de enlace en el proceso Winlogon
y escalar a privilegios del SYSTEM», dijo Jacob Ashdown, ingeniero de ciberseguridad de Immersive.
«La vulnerabilidad no requiere interacción del usuario y tiene una baja
complejidad de ataque, lo que la convierte en un objetivo sencillo una vez
que un atacante logra afianzarse».
Otra vulnerabilidad a destacar es
CVE-2026-26118
(CVSS: 8,8), un error de falsificación de solicitudes del lado del servidor en
el servidor Azure Model Context Protocol (MCP) que podría permitir a un
atacante autorizado elevar los privilegios en una red.
«Un atacante podría aprovechar este problema enviando entradas
especialmente diseñadas a una herramienta de servidor Azure Model Context
Protocol (MCP) que acepte parámetros proporcionados por el usuario», dijo Microsoft.
La explotación exitosa de la vulnerabilidad podría permitir a un atacante
obtener los permisos asociados con la identidad administrada del servidor MCP.
Luego, el atacante podría aprovechar este comportamiento para acceder o
realizar acciones en cualquier recurso al que la identidad administrada esté
autorizada a acceder.
Microsoft también ha solucionado dos errores de ejecución remota de código (CVE-2026-26110
y
CVE-2026-26113), ambos en Microsoft Office, que pueden explotarse a través del panel de
vista previa. Por tanto, los usuarios deben priorizar la actualización de la
aplicación.
Entre los errores de gravedad crítica resueltos por Microsoft se encuentra una
falla de divulgación de información en Excel. Registrado como
CVE-2026-26144
(CVSS de 7,5), se ha descrito como un caso de secuencias de comandos entre
sitios que se produce como resultado de una neutralización inadecuada de la
entrada durante la generación de una página web. Un atacante que explotara la
deficiencia podría causar que el modo Copilot Agent extraiga datos como parte
de un ataque sin clic.
Los parches llegan cuando Microsoft dijo que está cambiando el comportamiento
predeterminado de Windows Autopatch al permitir actualizaciones de seguridad
con parches activos para ayudar a proteger los dispositivos a un ritmo más
rápido.
«Este cambio en el comportamiento predeterminado llega a todos los
dispositivos elegibles en Microsoft Intune y a aquellos que acceden al
servicio a través de Microsoft Graph API a partir de la actualización de
seguridad de Windows de mayo de 2026»,
dijo Redmond.
«Aplicar correcciones de seguridad sin esperar a que se reinicie puede
hacer que las organizaciones alcancen un 90% de cumplimiento en la mitad del
tiempo, mientras usted mantiene el control».
Fuente:
THN