Microsoft lanzó el martes su primera actualización de seguridad para 2026 , que aborda 114 fallas de seguridad, incluida una vulnerabilidad que, según dijo, ha sido explotada activamente en estado salvaje.

De los 114 defectos, ocho se clasifican como críticos y 106 se clasifican como importantes en cuanto a gravedad. Hasta 58 vulnerabilidades se clasificaron como escalamiento de privilegios, seguidas de 22 vulnerabilidades de divulgación de información, 21 de ejecución remota de código y cinco de suplantación de identidad. Según los datos recopilados por Fortra, la actualización marca el tercer martes de parches más importante de enero, después de enero de 2025 y enero de 2022.

Estos parches se suman a dos fallos de seguridad que Microsoft ha abordado en su navegador Edge desde el lanzamiento del Martes de parches de diciembre de 2025 actualización, incluida una falla de suplantación de identidad en su aplicación para Android ( CVE-2025-65046 , 3.1) y un caso de aplicación insuficiente de políticas en la etiqueta WebView de Chromium ( CVE-2026-0628 , puntuación CVSS: 8,8).

La vulnerabilidad que ha sido objeto de explotación en estado salvaje es CVE-2026-20805 (puntuación CVSS: 5.5), una falla en la divulgación de información que afecta a Desktop Window Manager. El Centro de Inteligencia sobre Amenazas de Microsoft (MTIC) y el Centro de Respuesta a la Seguridad de Microsoft (MSRC) han sido los responsables de identificar y denunciar la falla.

«La exposición de información confidencial a un actor no autorizado en Desktop Windows Manager (DWM) permite a un atacante autorizado divulgar información localmente», dijo Microsoft en un aviso. «El tipo de información que podría revelarse si un atacante aprovechara esta vulnerabilidad con éxito es la dirección de una sección de un puerto ALPC remoto, que es la memoria en modo usuario».

Actualmente no hay detalles sobre cómo se explota la vulnerabilidad, la escala de dichos esfuerzos y quién puede estar detrás de la actividad.

«DWM es responsable de dibujar todo lo que aparece en la pantalla de un sistema Windows, lo que significa que ofrece una atractiva combinación de acceso privilegiado y disponibilidad universal, ya que casi cualquier proceso puede necesitar mostrar algo», afirma Adam Barnett, ingeniero de software principal de Rapid7, en un comunicado. «En este caso, la explotación conduce a la divulgación incorrecta de la dirección de una sección de puerto ALPC, que es una sección de la memoria en modo de usuario en la que los componentes de Windows coordinan varias acciones entre sí».

Microsoft abordó anteriormente una falla de día cero que se explotaba activamente en DWM en mayo de 2024 ( CVE-2024-30051 , puntuación CVSS: 7,8), que se describió como un defecto de escalamiento de privilegios del que abusaron varios actores de amenazas, en relación con la distribución de QakBot y otras familias de malware. Satnam Narang, ingeniero de investigación sénior de Tenable, calificó el DWM de «viajero frecuente» el martes de parches, con 20 CVEs parcheados en la biblioteca desde 2022.

Jack Bicer, director de investigación de vulnerabilidades de Action1, dijo un atacante autenticado localmente puede aprovechar la vulnerabilidad para divulgar información, anular la distribución aleatoria del espacio de direcciones (ASLR) y otras defensas.

«Las vulnerabilidades de esta naturaleza se utilizan comúnmente para socavar la aleatorización del diseño del espacio de direcciones (ASLR), un control de seguridad central del sistema operativo diseñado para proteger contra los desbordamientos del búfer y otras vulnerabilidades de manipulación de la memoria», dijo Kev Breen, director sénior de investigación de ciberamenazas de Immersive, a The Hacker News.

«Al revelar dónde reside el código en la memoria, esta vulnerabilidad puede encadenarse con un defecto de ejecución de código independiente, transformando un exploit complejo y poco fiable en un ataque práctico y repetible».

La Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA) ha adicional la falla de sus vulnerabilidades explotadas conocidas ( KEV ), que obliga a las agencias del Poder Ejecutivo Civil Federal (FCEB) a aplicar las últimas correcciones antes del 3 de febrero de 2026.

Otra vulnerabilidad destacable se refiere a la omisión de una función de seguridad que afecta a la caducidad del certificado de arranque seguro ( CVE-2026-21265 , puntuación CVSS: 6,4), lo que podría permitir a un atacante socavar un mecanismo de seguridad crucial que garantiza que los módulos de firmware provienen de una fuente confiable e impide que se ejecute malware durante el proceso de arranque.

En noviembre de 2025, Microsoft anunciado que caducarán tres certificados de arranque seguro de Windows emitidos en 2011, con efecto a partir de junio de 2026, instando a los clientes a actualización a sus homólogos de 2023 -

  • Microsoft Corporation KEK CA 2011 (junio de 2026) - Microsoft Corporation KEK 2K CA 2023 (para firmar actualizaciones en bases de datos y DBX)
  • Microsoft Windows Production PCA 2011 (octubre de 2026): Windows UEFI CA 2023 (para firmar el gestor de arranque de Windows)
  • Microsoft UEFI CA 2011 (junio de 2026): Microsoft UEFI CA 2023 (para firmar cargadores de arranque de terceros) y Microsoft Option ROM UEFI CA 2023 (para firmar ROM opcionales de terceros)

«Los certificados de arranque seguro que utilizan la mayoría de los dispositivos Windows caducarán a partir de junio de 2026. Esto podría afectar a la capacidad de algunos dispositivos personales y empresariales para arrancar de forma segura si no se actualizan a tiempo», afirma Microsoft. «Para evitar interrupciones, recomendamos revisar las directrices y tomar medidas para actualizar los certificados con antelación».

El fabricante de Windows también señaló que la última actualización elimina los controladores Agere Soft Modem "agrsm64.sys" y "agrsm.sys" que se vendían de forma nativa con el sistema operativo. Los controladores de terceros son susceptibles de presentar un error de escalamiento de privilegios local que data de hace dos años ( CVE-2023-31096 , puntuación CVSS: 7,8) que podría permitir a un atacante obtener permisos del SISTEMA.

En octubre de 2025, Microsoft tomó medidas para eliminar otro controlador de módem Agere llamado "ltmdm64.sys" tras explotar de forma clandestina una vulnerabilidad de escalamiento de privilegios ( CVE-2025-24990 , puntuación CVSS: 7,8), lo que podría permitir a un atacante obtener privilegios administrativos.

También debe ocupar un lugar destacado en la lista de prioridades CVE-2026-20876 (puntuación CVSS: 6,7), un defecto de escalamiento de privilegios con calificación crítica en Windows Virtualization Based Security (VBS) Enclave, que permite a un atacante obtener privilegios de nivel 2 de confianza virtual (VTL2) y aprovecharlos para subvertir los controles de seguridad, establecer una persistencia profunda y evadir la detección.

«Rompe los límites de seguridad diseñados para proteger al propio Windows, lo que permite a los atacantes acceder a una de las capas de ejecución más confiables del sistema», dijo Mike Walters, presidente y cofundador de Action1.

«Si bien la explotación requiere altos privilegios, el impacto es grave porque compromete la propia seguridad basada en la virtualización. Los atacantes que ya tienen un punto de apoyo podrían utilizar este defecto para derrotar las defensas avanzadas, por lo que es fundamental aplicar rápidamente los parches necesarios para mantener la confianza en los límites de seguridad de Windows».

Parches de software de otros proveedores

Además de Microsoft, otros proveedores también han publicado actualizaciones de seguridad desde principios de mes para corregir varias vulnerabilidades, entre ellas:

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.