Microsoft lanzó el martes parches para un conjunto de 84 nuevas vulnerabilidades de seguridad afectando a varios componentes de software, incluidos dos que figuran como de conocimiento público.
De estos, ocho se clasifican como críticos y 76 se clasifican como importantes en cuanto a gravedad. Cuarenta y seis de las vulnerabilidades corregidas están relacionadas con la escalada de privilegios, seguidas de 18 con la ejecución remota de código, 10 con la divulgación de información, 4 con la suplantación de identidad, 4 con la denegación de servicio y dos con fallos de elusión de funciones de seguridad.
Las correcciones se suman a 10 vulnerabilidades que se han abordado en su navegador Edge basado en Chromium desde el lanzamiento del Actualización del martes de parches de febrero de 2026 .
Los dos días cero divulgados públicamente son CVE-2026-26127 (puntuación CVSS: 7,5), una vulnerabilidad de denegación de servicio en.NET y CVE-2026-21262 (puntuación CVSS: 8,8), una vulnerabilidad de elevación de privilegios en SQL Server.
adsenseLa vulnerabilidad con la puntuación CVSS más alta en la actualización de este mes es una falla crítica de ejecución remota de código en el Programa de precios de dispositivos de Microsoft. CVE-2026-21536 (puntuación CVSS: 9,8), según Microsoft, se ha mitigado por completo y los usuarios no requieren ninguna acción. La plataforma autónoma de detección de vulnerabilidades XBOW, basada en inteligencia artificial (IA), ha sido la responsable de descubrir y denunciar el problema.
«Este mes, más de la mitad (el 55%) de todos los CVE de los Patch Tuesday fueron errores de escalamiento de privilegios y, de ellos, seis se consideraron explotados con más probabilidades de explotación en los componentes gráficos de Windows, la infraestructura de accesibilidad de Windows, el kernel de Windows, el servidor SMB de Windows y Winlogon», afirma Satnam Narang, ingeniero de investigación sénior de Tenable.
«Sabemos que los actores de amenazas suelen utilizar estos errores como parte de las actividades posteriores al compromiso, una vez que llegan a los sistemas por otros medios (ingeniería social, explotación de otra vulnerabilidad)».
El defecto de escalamiento de privilegios de Winlogon ( CVE-2026-25187 , puntuación CVSS: 7.8), en particular, aprovecha la resolución de enlaces incorrecta para obtener los privilegios del SISTEMA. James Forshaw, investigador de Google Project Zero, ha sido reconocido por denunciar la vulnerabilidad.
«La falla permite a un atacante autenticado localmente con pocos privilegios aprovechar una condición de seguimiento de enlaces en el proceso de Winlogon y pasar a tener privilegios SYSTEM», afirma Jacob Ashdown, ingeniero de ciberseguridad de Immersive. «La vulnerabilidad no requiere la interacción del usuario y su complejidad de ataque es baja, lo que la convierte en un objetivo fácil una vez que el atacante se afianza».
Otra vulnerabilidad destacable es CVE-2026-26118 (puntuación CVSS: 8,8), un error de falsificación de solicitudes del lado del servidor en el servidor del Protocolo de contexto modelo de Azure (MCP) que podría permitir a un atacante autorizado aumentar los privilegios en una red.
«Un atacante podría aprovechar este problema enviando entradas especialmente diseñadas a una herramienta de servidor Azure Model Context Protocol (MCP) que acepte los parámetros proporcionados por los usuarios», afirma Microsoft.
«Si el atacante puede interactuar con el agente respaldado por MCP, puede enviar una URL malintencionada en lugar de un identificador de recursos normal de Azure. A continuación, el servidor MCP envía una solicitud saliente a esa URL y, al hacerlo, puede incluir su token de identidad administrado. Esto permite al atacante capturar ese token sin necesidad de acceso administrativo».
La explotación exitosa de la vulnerabilidad podría permitir a un atacante obtener los permisos asociados a la identidad administrada del servidor MCP. El atacante podría entonces aprovechar este comportamiento para acceder a cualquier recurso al que la identidad gestionada esté autorizada a acceder o realizar acciones en ellos.
Entre los errores de gravedad crítica resueltos por Microsoft se encuentra una falla de divulgación de información en Excel. Rastreado como CVE-2026-26144 (puntuación CVSS de 7,5), se ha descrito como un caso de creación de scripts entre sitios que se produce como resultado de una neutralización inadecuada de la entrada durante la generación de la página web.
enlacesEl fabricante de Windows dijo que un atacante que aprovechara la deficiencia podría provocar que el modo Copilot Agent extraiga datos como parte de un ataque sin clic.
«Las vulnerabilidades de divulgación de información son especialmente peligrosas en entornos corporativos donde los archivos de Excel suelen contener datos financieros, propiedad intelectual o registros operativos», dijo Alex Vovk, director ejecutivo y cofundador de Action1, en un comunicado.
«Si se aprovechan, los atacantes podrían extraer silenciosamente información confidencial de los sistemas internos sin activar alertas obvias. Las organizaciones que utilizan funciones de productividad asistidas por IA pueden enfrentarse a una mayor exposición, ya que los agentes automatizados podrían transmitir involuntariamente datos confidenciales fuera de los límites corporativos».
Los parches llegan cuando Microsoft dijo que está cambiando el comportamiento predeterminado de Windows Autopatch al habilitar las actualizaciones de seguridad con parches rápidos para ayudar a proteger los dispositivos a un ritmo más rápido.
«Este cambio en el comportamiento predeterminado se aplica a todos los dispositivos elegibles de Microsoft Intune y a aquellos que acceden al servicio a través de la API Microsoft Graph a partir de la actualización de seguridad de Windows de mayo de 2026», dijo Redmond dijo . «Aplicar correcciones de seguridad sin esperar a que se reinicie puede lograr que las organizaciones cumplan con el 90% en la mitad de tiempo, sin perder el control».
Fuentes de Información: THEHACKERNEWS