El día de ayer, Microsoft publicó actualizaciones de seguridad para corregir
59 vulnerabilidades
en su software, incluyendo seis que, según la compañía, han sido explotadas activamente.
De las 59 vulnerabilidades, cinco son consideradas críticas, 52 importantes y dos moderadas. ISC proporciona detalles sobre el número de fallas en cada categoría:
- 25 vulnerabilidades de elevación de privilegios
- 5 vulnerabilidades que omiten funciones de seguridad
- 12 vulnerabilidades de ejecución remota de código
- 6 vulnerabilidades de divulgación de información
- 3 vulnerabilidades de denegación de servicio
- 7 vulnerabilidades de suplantación de identidad
Es importante señalar que estos parches se suman a
tres vulnerabilidades
corregidas en el navegador Edge desde el lanzamiento de la actualización de enero de 2026. Entre estas vulnerabilidades hay una moderada que afecta a Edge en Android (CVE-2026-0391, CVSS: 6,5), que podría permitir a un atacante no autorizado realizar suplantaciones a través de una red al aprovechar una
«tergiversación de información crítica en la interfaz de usuario».
Esta actualización también coincide con el
lanzamiento de Certificados de Arranque Seguro
actualizados por parte de Microsoft para reemplazar los certificados originales de 2011 que expiran a finales de junio de 2026. Los nuevos certificados se instalarán automáticamente con el proceso de actualización mensual de Windows.
Microsoft
anunció
planes para actualizar los Certificados de Arranque Seguro que están a punto de vencer en sistemas Windows 11 24H2 y 25H2 elegibles, tras
una alerta en noviembre
que instaba a los administradores de TI a actualizar los certificados de seguridad utilizados para validar el firmware UEFI.
Vulnerabilidades con explotación activa
Destacan seis vulnerabilidades marcadas como explotadas activamente en las actualizaciones de este mes:
-
CVE-2026-21510
(CVSS: 8,8): Un fallo en el mecanismo de protección de Windows Shell que permite a un atacante evitar una función de seguridad a través de una red. -
CVE-2026-21513
(CVSS: 8,8): Un fallo en el mecanismo de protección de MSHTML Framework que
facilita
que un atacante eluda una función de seguridad a través de una red.
El mecanismo de protección defectuoso permite a los atacantes ignorar las solicitudes de ejecución cuando los usuarios interactúan con archivos maliciosos. Un archivo manipulado puede eludir silenciosamente las medidas de seguridad de Windows y desencadenar acciones peligrosas con un solo clic. -
CVE-2026-21514
(CVSS: 7.8): Dependencia de entradas no confiables en Microsoft Office Word, que permite a un atacante eludir localmente una función de seguridad. -
CVE-2026-21519
(CVSS: 7.8): Acceso a un recurso mediante un tipo incompatible en el Administrador de ventanas del escritorio, permitiendo a un atacante autorizado elevar privilegios localmente. -
CVE-2026-21525
(CVSS: 6.2): Desreferencia de puntero nulo en el Administrador de conexión de acceso remoto de Windows, que permite a un atacante no autorizado causar una denegación de servicio localmente. -
CVE-2026-21533
(CVSS: 7.8): Mala gestión de privilegios en el Escritorio remoto de Windows, lo que permite a un atacante autorizado elevar privilegios localmente.
Satnam Narang, ingeniero sénior de Tenable, comentó que
CVE-2026-21513 y CVE-2026-21514 son similares a CVE-2026-21510, siendo que CVE-2026-21513 también puede ser explotada con un archivo HTML, mientras que CVE-2026-21514 solo puede utilizar un archivo de Microsoft Office.
Respecto a CVE-2026-21525, está relacionada con una vulnerabilidad de tipo Zero-Day que el servicio 0patch de ACROS Security
reportó
haber encontrado en diciembre de 2025 durante el análisis de otra falla similar (CVE-2025-59230).
Por otra parte, CVE-2026-21519 y CVE-2026-21533 son vulnerabilidades de escalado de privilegios locales, lo que significa que un atacante ya debe contar con acceso a un host vulnerable. Esto puede lograrse a través de un archivo adjunto malicioso, una vulnerabilidad de ejecución remota de código o movimiento lateral desde otro sistema ya comprometido.
CVE-2026-21533 presenta un vector de ataque local, con baja complejidad y requisitos de privilegios mínimos. No requiere la interacción del usuario. Surge de una incorrecta gestión de privilegios en los componentes RDS. CrowdStrike reportó un binario que modifica una clave de registro de configuración de servicio, reemplazándola por una controlada por el atacante, permitiendo el escalado de privilegios, como añadir un nuevo usuario al grupo de Administradores, otorgando así privilegios completos de SYSTEM. Los atacantes deben tener acceso local inicial con privilegios reducidos, haciéndola ideal para la explotación en entornos RDP.
Adam Meyers, de CrowdStrike,
alertó:
«Es probable que los actores maliciosos que posean los binarios del exploit intensifiquen sus intentos de usar o vender CVE-2026-21533 en el corto plazo». Aunque no hay atribución específica al atacante, los sistemas RDS son objetivos de alto interés para movimientos laterales.
Este escenario llevó a CISA a
incluir las seis vulnerabilidades
en su catálogo de Vulnerabilidades Explotadas Conocidas (KEV).
Tres vulnerabilidades críticas en Microsoft Azure
- CVE-2026-24300 es una vulnerabilidad crítica de elevación de privilegios en Azure Front Door, con una puntuación CVSS de 9,8. Permite a atacantes remotos sin privilegios elevar permisos mediante un control de acceso inadecuado. Esta vulnerabilidad no requiere la interacción del usuario.
- CVE-2026-24302 es otra vulnerabilidad crítica de elevación de privilegios en Azure Arc, con una puntuación CVSS de 8,6. Permite a atacantes remotos sin privilegios elevar permisos a través de un control de acceso inadecuado, sin necesidad de interacción del usuario.
- CVE-2026-21532 es una vulnerabilidad crítica de divulgación de información en Azure Functions, con CVSS de 8,2. Permite a atacantes remotos sin privilegios acceder a información confidencial mediante la exposición a actores no autorizados. Esta falla también no requiere la interacción del usuario.
Iniciativas de seguridad por diseño
Al mismo tiempo, Microsoft anunció que está reforzando las protecciones en Windows a través de dos iniciativas de seguridad: el Modo de Seguridad Base de Windows y la Transparencia y Consentimiento del Usuario. Estas actualizaciones forman parte de la
Iniciativa de Futuro Seguro (SFI) y la
Iniciativa de Resiliencia de Windows (WRI). En este modo, Windows funcionará con protecciones de integridad en tiempo de ejecución habilitadas por defecto, asegurando que solo se ejecuten aplicaciones, servicios y controladores debidamente firmados, protegiendo así el sistema de manipulaciones no autorizadas.
- Seguridad por diseño: La seguridad es una prioridad en el diseño de cualquier producto o servicio.
- Seguridad por defecto: Las medidas de seguridad se aplican automáticamente y no requieren esfuerzo adicional, sin ser opcionales.
- Operaciones seguras: Se mejorarán continuamente los controles y la monitorización de la seguridad para enfrentar ciberamenazas actuales y futuras.
La Transparencia y Consentimiento del Usuario, similar al marco de
Transparencia, Consentimiento y Control (TCC)
de macOS de Apple, busca establecer un enfoque coherente en la gestión de decisiones de seguridad. El sistema operativo notificará a los usuarios cuando las aplicaciones intenten acceder a recursos sensibles, como archivos, la cámara o el micrófono, o intenten instalar software no deseado.
Además, se espera que las aplicaciones y los agentes de IA cumplan con normas más estrictas de transparencia, proporcionando a los usuarios y administradores de TI una mejor visibilidad de sus comportamientos.
En febrero, además de Microsoft, otros importantes proveedores de software, como
Adobe,
Cisco, Fortinet,
SAP
y otros también lanzaron actualizaciones de seguridad.
Fuente:
THN
Con Información de blog.segu-info.com.ar