El martes de parches de marzo de 2026, Microsoft abordó más de 80 vulnerabilidades que afectaban a su software y servicios en la nube. De estas, dos se divulgaron públicamente, pero no se explotaron activamente.

Abundan las vulnerabilidades de escalada de privilegios

Las dos fallas reveladas públicamente son CVE-2026-21262 , una vulnerabilidad en SQL Server que puede permitir a los atacantes obtener privilegios de SQLAdmin, y CVE-2026-26127 , una falla de .NET que puede activarse para un ataque de denegación de servicio.

El primero tiene “menos probabilidades” de ser explotado, y el segundo es “poco probable” que lo sea (según Microsoft).

Seis de las vulnerabilidades parcheadas se consideran «más propensas» a ser explotadas, y todas ellas pueden ser utilizadas por atacantes para elevar sus privilegios (ya sea a SISTEMA o administrador) en los sistemas objetivo:

CVE-2026-24289 y CVE-2026-26132 son dos vulnerabilidades de uso posterior a la liberación del kernel de Windows. CVE-2026-23668 es una condición de carrera en el componente gráfico de Windows.

“Marcin Wiązowski envió [CVE-2026-23668] al programa ZDI como dos errores separados y demuestra la necesidad de realizar investigaciones de variantes al crear parches de seguridad”, afirmó Dustin Childs, jefe de concientización sobre amenazas en la Iniciativa Zero Day de Trend Micro.

La CVE-2026-24294 afecta al servidor SMB de Windows y se debe a una autenticación incorrecta. La CVE-2026-25187 se encuentra en Winlogon (el proceso del sistema de Windows responsable de gestionar la autenticación de usuarios, los inicios y cierres de sesión seguros y la seguridad del escritorio) y se debe a una resolución incorrecta de enlaces antes del acceso a archivos.

CVE-2026-24291 afecta a la Infraestructura de Accesibilidad de Windows ( ATBroker.exe ).

Esta vulnerabilidad específica es muy apreciada por los actores de amenazas porque ofrece una transición fiable de una cuenta de usuario limitada a privilegios de SISTEMA. Si bien muchas fallas de elevación solo otorgan el estatus de Administrador, obtener privilegios de SISTEMA proporciona control total sobre el sistema y la capacidad de manipular la memoria. Este es el objetivo final de cualquier atacante local, ya que permite eludir por completo las herramientas de detección y respuesta de endpoints, que de otro modo podrían bloquear a un Administrador, pero no pueden detener fácilmente un proceso que se ejecuta con el token de SISTEMA», afirmó Ben McCarthy, ingeniero jefe de ciberseguridad de Immersive.

También señaló que debido a que este componente central de accesibilidad está presente en casi todas las instalaciones modernas de Windows, “la superficie de ataque potencial es amplia, lo que hace que la rápida implementación de la solución oficial sea esencial para mantener la integridad del perímetro”.

Priorizar estos parches

Childs destacó cuatro vulnerabilidades más que merecen una solución rápida:

  • CVE-2026-23669 , una falla de ejecución de código remoto autenticado en el servicio de cola de impresión de Windows
  • CVE-2026-26144 , un error crítico de secuencias de comandos entre sitios (XSS) en Excel que podría explotarse para provocar que el agente Copilot extraiga datos del objetivo.
  • CVE-2026-26110 y CVE-2026-26113 , dos fallas RCE en Microsoft Office.

Otro mes y otro par de errores de Office donde el panel de vista previa es un vector de explotación. He perdido la cuenta de cuántos de estos errores se han corregido en el último año, pero es solo cuestión de tiempo hasta que empiecen a aparecer en explotaciones activas, señaló.

Las últimas versiones de Outlook permiten ocultar el panel de vista previa, pero no está claro si esto mitigaría estos ataques. La mejor opción sigue siendo probar e implementar la actualización, pero considerando la cantidad de parches existentes, es probable que se necesiten más actualizaciones para solucionar estos problemas por completo.

Se corrigieron otros errores críticos en diversos servicios en la nube: Microsoft ACI Confidential Containers, el Programa de Precios de Dispositivos Microsoft y el Servicio Payment Orchestrator. Estos errores se han mitigado mediante la implementación del servidor de Microsoft, y los usuarios no tienen que hacer nada para estar protegidos.

El Centro Nacional de Seguridad Cibernética de Holanda también ha señalado que CVE-2026-26123 , que afecta a Microsoft Authenticator para Android e iOS, podría ser explotado por atacantes a través de una aplicación fraudulenta para capturar el inicio de sesión de la víctima en un ataque Man-in-the-Middle.

“Dado que el abuso exitoso depende de varios pasos y de ingeniería social, no es probable que se produzca un abuso a gran escala, pero sí se puede esperar en ataques dirigidos por actores de alto nivel técnico”, agregaron.

La interacción del usuario es necesaria porque debe tener una aplicación maliciosa instalada en su dispositivo y seleccionarla accidentalmente como controlador del enlace profundo de inicio de sesión. Esto puede ocurrir cuando el usuario escanea un código QR o pulsa un enlace de inicio de sesión y selecciona la aplicación maliciosa en lugar de Microsoft Authenticator, lo que provoca que la aplicación controlada por el atacante gestione el flujo de inicio de sesión. Microsoft explicó el peligro en el aviso de seguridad .

Adam Barnett, ingeniero de software sénior de Rapid7, señaló que, como los usuarios pueden elegir la aplicación de autenticación que desean usar, los defensores empresariales «deberían considerar qué tan bien su política de administración de dispositivos móviles cubre la aplicación de parches y la implementación de opciones de aplicaciones para aplicaciones MFA».

Fuente y redacción: helpnetsecurity.com

Compartir