martes, 14 de julio de 2026
Policial

Empresas implementan actualizaciones de seguridad críticas tras colapso del sistema de puntuación CVSS en julio

Microsoft publicó hoy su mayor actualización de seguridad hasta la fecha, en la cual dos de las correcciones solucionan vulnerabilidades que los atacantes ya estaban explotando. La actualización cubre 622 vulnerabilidades propias de Microsoft, más del triple del máximo anterior de junio, que rondaba las 200.

Debido a la cantidad de CVE, ordenar por criticidad de CVSS deja de tener sentido. Se debe ordenar según la vulnerabilidad que se esté explotando, utilizando KEV, EPSS y la bandera de vulnerabilidades de Microsoft, no por puntuación, y aplicar parches más rápido que antes.

La distribución aproximada de errores por categoría de vulnerabilidad es la siguiente: 254 vulnerabilidades de elevación de privilegios, 17 vulnerabilidades de omisión de funciones de seguridad, 145 vulnerabilidades de ejecución remota de código, 102 vulnerabilidades de divulgación de información, 35 vulnerabilidades de denegación de servicio y 16 vulnerabilidades de suplantación de identidad.

Google corrigió 468 fallos en Microsoft Edge/Chromium este mes, los cuales no se incluyeron en este resumen de actualizaciones de seguridad. Como parte de las actualizaciones de seguridad de junio del mes pasado, Google corrigió 360 fallos que posteriormente se implementaron en Microsoft Edge.

En la actualización de seguridad de este mes, se corrigen tres vulnerabilidades de día cero: dos explotadas en ataques y una divulgada públicamente. La CVE-2026-56164 es una vulnerabilidad de SharePoint Server que, según Microsoft, está siendo explotada activamente y permite a un atacante no autenticado escalar privilegios en la red de forma remota, sin credenciales ni interacción del usuario. Microsoft atribuyó el descubrimiento a los responsables de respuesta a incidentes de Mandiant y al equipo FLARE de Google. Si utiliza SharePoint autohospedado, esta es la vulnerabilidad que debe actualizarse primero, ya que también finaliza hoy el soporte extendido para SharePoint Server 2016 y 2019. Microsoft señala que habilitar AMSI en modo completo en el servidor reduce la efectividad del ataque.

La vulnerabilidad CVE-2026-56155 también está siendo explotada en los Servicios de Federación de Active Directory (AD FS) y permite a un atacante ya autenticado elevar privilegios localmente mediante controles de acceso débiles. AD FS es el servidor que gestiona los tokens para el resto de los fideicomisos de la red, por lo que una vulnerabilidad en ese servidor merece mayor atención. Microsoft no ha especificado qué privilegios otorga ni cómo la utilizaron los atacantes.

La vulnerabilidad de día cero divulgada públicamente que fue corregida es la CVE-2026-50661, una omisión de la función de seguridad BitLocker de Windows. Según se ha divulgado públicamente, podría permitir a los atacantes acceder a datos cifrados. Microsoft explica que un atacante con acceso físico al dispositivo de almacenamiento del sistema podría explotar esta vulnerabilidad para acceder a los datos cifrados.

SharePoint recibió una segunda corrección importante. Rapid7 Labs reveló CVE-2026-55040, una vulnerabilidad que permite eludir la autenticación JWT. La puntuación varía según la fuente: Rapid7 le otorga una puntuación de 5.3 y afirma que Microsoft le asignó una gravedad media, mientras que ZDI la clasifica como crítica con una puntuación de 9.1. Rapid7 la encadenó a un fallo de ejecución remota de código independiente para lograr la ejecución remota de código sin autenticación contra un servidor vulnerable. Microsoft tiene previsto solucionarlo en agosto.

Esta actualización también finaliza el endurecimiento de Kerberos RC4 que Microsoft ha estado implementando durante varios años. El despliegue de julio elimina el interruptor de reversión RC4DefaultDisablementPhase, la vía de escape que los administradores han utilizado desde que Microsoft comenzó las medidas de seguridad en enero. A partir de ahora, RC4 solo funcionará para las cuentas configuradas explícitamente para permitirlo.

Si alguna cuenta de servicio en su entorno aún solicita tickets Kerberos RC4, la autenticación podría fallar en el momento en que se implemente la actualización. El orden es importante: primero, auditar utilizando los eventos de auditoría de RC4; luego, rotar las contraseñas de las cuentas de servicio marcadas para que Windows genere claves AES; y, finalmente, aplicar el parche.

Julio es históricamente uno de los meses con menos actualizaciones en el calendario de Microsoft, lo que hace que una actualización de este tamaño destaque. Solo Windows representa 416 de las 622 vulnerabilidades, y ZDI contabilizó 95 vulnerabilidades de ejecución remota de código en toda la actualización. Microsoft comunicó a sus clientes que esperaran un mayor volumen de actualizaciones de seguridad a medida que la IA le ayuda a descubrir más problemas. Este trabajo incluye MDASH, su sistema de escaneo multimodal con agentes, que encontró 16 de las vulnerabilidades en el Patch Tuesday de mayo por sí solo.

Una vez que se publica un parche, los atacantes pueden compararlo con la última versión, encontrar el error que corrige y crear un exploit funcional antes de que la mayoría de las empresas hayan terminado las pruebas. Esto elimina el antiguo margen de tiempo de espera. Cuando una versión contiene más de 600 CVE y una gran parte se clasifica como Alta o Crítica, la categoría «Crítica» deja de ser relevante para la clasificación.

Otros proveedores que publicaron actualizaciones o avisos incluyen: Adobe, que parcheó siete fallos de máxima gravedad en ColdFusion y Campaign; BeyondTrust, que lanzó actualizaciones para dos fallos de omisión de autenticación en su software de acceso remoto; Cisco, que lanzó actualizaciones para numerosos productos; Fortinet, que lanzó actualizaciones para fallos en FortiOS y otros productos; Gitea, que lanzó una actualización para una omisión de autenticación crítica; Ivanti, que lanzó actualizaciones para dos vulnerabilidades; mantenedores del kernel Linux, que lanzaron un parche para la vulnerabilidad Januscape; NVIDIA, que lanzó actualizaciones para productos; Progress Software, que lanzó actualizaciones para una vulnerabilidad de recorrido de directorios de gravedad alta; Ubiquiti, que lanzó actualizaciones para vulnerabilidades en UniFi OS; mantenedores de U-Boot, que introdujeron parches para fallos de firmware; SAP, que lanzó actualizaciones para cuatro fallos críticos; VMware, que lanzó actualizaciones para el Avi Load Balancer; y Zimbra, que lanzó actualizaciones para una vulnerabilidad XSS crítica.

Con Información de blog.segu-info.com.ar

Editor

Redacción.

Deja tu comentario