El martes parches de abril de 2026 de Microsoft ha dejado actualizaciones de seguridad para 169 vulnerabilidades, incluyendo 2 Zero-Days. Este Patch Tuesday también aborda ocho vulnerabilidades "críticas", 7 de las cuales son vulnerabilidades de ejecución remota de código y la otra es una vulnerabilidad de denegación de servicio.
El número de errores en cada categoría de vulnerabilidad se detalla a continuación:
- 93 vulnerabilidades de elevación de privilegios
- 13 vulnerabilidades de omisión de funciones de seguridad
- 20 vulnerabilidades de ejecución remota de código
- 21 vulnerabilidades de divulgación de información
- 10 vulnerabilidades de denegación de servicio
- 9 vulnerabilidades de suplantación de identidad
Entre las 169 vulnerabilidades también se incluyen cuatro CVE no emitidas por Microsoft que afectan a AMD (CVE-2023-20585), Node.js (CVE-2026-21637), Windows Secure Boot (CVE-2026-25250) y Git para Windows (CVE-2026-32631). Estas actualizaciones se suman a las 78 vulnerabilidades que se han corregido en su navegador Edge basado en Chromium desde la actualización lanzada el mes pasado.
Para obtener más información sobre las actualizaciones no relacionadas con la seguridad publicadas hoy, puede consultar nuestros artículos específicos sobre las actualizaciones acumulativas the Windows 11 KB5083769 & KB5082052 y la actualizaciuón extendida de Windows 10 KB5082200.
Dos vulnerabilidades de día cero y fallos en Microsoft Office
Esta actualización corrige dos vulnerabilidades de día cero: una divulgada públicamente y la otra explotada activamente en ataques.
La vulnerabilidad de día cero explotada activamente es:
- CVE-2026-32201 (CVSS 6.5). Vulnerabilidad de suplantación de identidad en Microsoft SharePoint Server, que fue explotada en ataques. "Una validación de entrada incorrecta en Microsoft Office SharePoint permite a un atacante no autorizado suplantar identidades en una red", explica Microsoft.
La explotación activa de la vulnerabilidad CVE-2026-32201 ha llevado a la CISA añadirla al catálogo de Vulnerabilidades Explotadas Conocidas (KEV).
La vulnerabilidad de día cero divulgada públicamente es:
- CVE-2026-33825 (CVSS 8.5). Vulnerabilidad de elevación de privilegios en Microsoft Defender que otorgaba privilegios de SYSTEM y se conoció públicamente com BlueHammer. La compañía ha solucionado la vulnerabilidad en la actualización 4.18.26050.3011 de la plataforma antimalware Microsoft Defender, que se descargará automáticamente en los sistemas. Microsoft reconoce el descubrimiento de esta vulnerabilidad por parte de Zen Dodd y Yuanpei XU (HUST) de Diffract.
Vulnerabilidad Cero Clics explotada activamente
La vulnerabilidad de suplantación de identidad, CVE-2026-32202 (CVSS 4.3), podría permitir a un atacante acceder a información confidencial. "Un fallo en el mecanismo de protección de Windows Shell permite a un atacante no autorizado realizar suplantación de identidad a través de una red", señala Microsoft en una alerta. "El atacante tendría que enviar a la víctima un archivo malicioso que esta tendría que ejecutar".
Aunque el gigante tecnológico no compartió detalles sobre la actividad de explotación, el investigador de seguridad de Akamai, Maor Dahan, a quien se le atribuye el descubrimiento y la notificación del fallo, afirmó que la vulnerabilidad de cero clics se origina en un parche incompleto para la CVE-2026-21510.
Esta última ha sido explotada por un grupo estatal ruso identificado como APT28 (también conocido como Fancy Bear, Forest Blizzard, GruesomeLarch y Pawn Storm) junto con la CVE-2026-21513 como parte de una cadena de exploits: CVE-2026-21510 (CVSS 8.8) y CVE-2026-21513 (CVSS 8.8), solucionadas en febrero.
Ejecución remota de código en Microsoft Office
Microsoft también ha corregido varios errores de ejecución remota de código en Microsoft Office (Word y Excel) que podían ejecutarse a través del panel de vista previa o al abrir documentos maliciosos. Por lo tanto, se recomienda a los usuarios que actualicen Microsoft Office lo antes posible, especialmente si suelen recibir archivos adjuntos.
Vulnerabilidad en IKE (IPSec / VPN)
Una de las vulnerabilidades más graves es la ejecución remota de código que afecta a las extensiones del servicio de intercambio de claves de Internet (IKE) de Windows. Identificada como CVE-2026-33824, esta vulnerabilidad tiene una puntuación CVSS de 9.8.
"Para explotarla, un atacante debe enviar paquetes especialmente diseñados a un equipo Windows con IKE v2 habilitado, lo que podría permitir la ejecución remota de código", declaró Adam Barnett, ingeniero jefe de software de Rapid7. "Las vulnerabilidades que permiten la ejecución remota de código sin autenticación en sistemas Windows modernos son relativamente raras; de lo contrario, veríamos más vulnerabilidades que se propagan por internet. Sin embargo, dado que IKE proporciona servicios seguros de negociación de túneles, por ejemplo, para VPN, está necesariamente expuesto a redes no confiables y es accesible en un contexto de preautorización".
Un atacante no autenticado puede enviar paquetes especialmente diseñados a una máquina Windows con IKE versión 2 habilitado para potencialmente permitir la ejecución remota de código. Entre las medidas de mitigación adicionales se incluye el bloqueo del tráfico entrante en los puertos UDP 500 y 4500 si IKE no está en uso.
Walters señaló que esta vulnerabilidad representa una seria amenaza para los entornos empresariales, especialmente para aquellos que dependen de VPN o IPsec para comunicaciones seguras. La explotación exitosa de esta vulnerabilidad podría comprometer completamente el sistema, permitiendo a atacantes robar datos confidenciales, interrumpir operaciones o moverse lateralmente por la red.
La falta de interacción del usuario hace que esto sea especialmente peligroso para los sistemas conectados a internet. Su baja complejidad de ataque y su impacto total en el sistema lo convierten en un objetivo ideal para su rápida utilización como arma. Los sistemas conectados a internet que ejecutan servicios IKEv2 corren un riesgo particular, y retrasar la implementación del parche aumenta la exposición a posibles ataques generalizados.
Vulnerabilidad de BitLocker
Microsoft publicó oficialmente actualizaciones de seguridad para solucionar una importante vulnerabilidad en Windows BitLocker. Esta vulnerabilidad, identificada como CVE-2026-27913 (CVSS 7.7), fue descubierta por el investigador de seguridad Alon Leviev en colaboración con el equipo STORM de Microsoft. El fallo representa un riesgo considerable para las arquitecturas de seguridad de los dispositivos empresariales. Sin embargo, actualmente no hay evidencia de explotación activa ni código de explotación disponible públicamente.
La causa principal de CVE-2026-27913 reside en la forma en que el componente Windows BitLocker procesa y gestiona ciertos datos de entrada. Según el aviso de seguridad integral de Microsoft, la vulnerabilidad se deriva directamente de una validación de entrada incorrecta, clasificada como debilidad CWE-20.
El exploit requiere acceso local a la máquina objetivo, lo que significa que el atacante debe estar físicamente cerca o tener acceso local al sistema. Esta debilidad sistémica permite a un atacante no autorizado eludir fácilmente las protecciones críticas del sistema y eludir completamente el Arranque Seguro (Secure Boot). La ejecución del exploit tiene una baja complejidad y no requiere interacción del usuario ni privilegios elevados para tener éxito.
La documentación de Microsoft confirma que la vulnerabilidad afecta a un amplio espectro de entornos Windows Server actualmente en uso. Las plataformas afectadas incluyen Windows Server 2012, Windows Server 2012 R2, Windows Server 2016, Windows Server 2019 y Windows Server 2022. Además, la vulnerabilidad está presente tanto en instalaciones estándar completas de escritorio como en instalaciones optimizadas de Server Core en todas estas versiones.
Actualizaciones para otras compañías
- Adobe security updates, incluye un Zero- Day explotado activamente en Reader/Acrobat. CVE-2026-34621 (CVSS 8.6).
- Apache corrige un RCE, una vulnerabilidad de 13 años de antiguedad.
- Apple iOS 18 security updates, que protege contra DarkSword exploit kit.
- Cisco security updates para muchos productos, incluyendo un Integrated Management Controller (IMC) authentication bypass que permite ganar acceso de Admin.
- Fortinet security updates para numerosos productos, incluyendo uno para FortiClient Enterprise Management Server (EMS) vulnerability, CVE-2026-35616, que está siendo activamente explotado.
- Google Android's April security bulletin y fixed a Google Chrome zero-day que está siendo explotado.
- Nuevo GPUBreach rowhammer attack.
- Marimo security update.
- SAP lanza April security updates para muchos productos, incluyendo un SQL Injection en SAP Business Planning y Consolidation and SAP Business Warehouse. CVE-2026-27681 (CVSS 9.9).
- wolfSSL SSL/TLS library publica security update que permite manipular certificados digitales.
No hay comentarios.:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!