Actualizaciones de seguridad de JULIO para todas las empresas, murió el CVSS
Microsoft publicó hoy su mayor actualización de seguridad hasta la fecha, y dos de las correcciones solucionan vulnerabilidades que los atacantes ya estaban explotando. La actualización cubre 622 vulnerabilidades propias de Microsoft, más del triple del máximo anterior de junio, que rondaba las 200.
Debido a la cantidad de CVE, ordenar por criticidad de CVSS deja de tener sentido. Se debe ordenar según la vulnerabilidad que se esté explotando, usando KEV, EPSS y la bandera de vulnerabilidades de Microsoft, no por puntuación, y aplica parches más rápido que antes.
A continuación se muestra el número aproximado de errores en cada categoría de vulnerabilidad:
- 254 Vulnerabilidades de elevación de privilegios
- 17 Vulnerabilidades de omisión de funciones de seguridad
- 145 Vulnerabilidades de ejecución remota de código
- 102 Vulnerabilidades de divulgación de información
- 35 Vulnerabilidades de denegación de servicio
- 16 Vulnerabilidades de suplantación de identidad
Además, Google corrigió 468 fallos en Microsoft Edge/Chromium este mes, los cuales no se incluyeron en este resumen de actualizaciones de seguridad. Como parte de las actualizaciones de seguridad de junio del mes pasado, Google corrigió 360 fallos que posteriormente se implementaron en Microsoft Edge.
3 Vulnerabilidades de día cero, 2 explotadas
En la actualización de seguridad de este mes, se corrigen tres vulnerabilidades de día cero: dos explotadas en ataques y una divulgada públicamente. Las dos vulnerabilidades de día cero explotadas activamente que se corrigen en la actualización de seguridad de este mes son:
-
CVE-2026-56164, una vulnerabilidad de SharePoint Server que, según Microsoft, está
siendo explotada activamente, permite a un atacante no autenticado
escalar privilegios en la red. Sin credenciales, sin interacción del
usuario y de forma remota. Microsoft atribuyó el descubrimiento a los
responsables de respuesta a incidentes de Mandiant y al equipo FLARE de
Google.
Si utiliza SharePoint autohospedado, esta es la vulnerabilidad que debe actualizarse primero, y hay un segundo plazo: hoy también finaliza el soporte extendido para SharePoint Server 2016 y 2019. A diferencia de Windows Server o SQL Server, ninguno de los dos cuenta con un programa ESU de pago.
Además de parchear, el aviso de Microsoft señala que habilitar AMSI en modo completo en el servidor reduce la efectividad del ataque. SharePoint ha sido un objetivo prioritario para los atacantes desde que la cadena ToolShell arrasó con servidores sin parchear en 2025, y sigue siéndolo. -
La vulnerabilidad
CVE-2026-56155, que Microsoft también identifica como explotada en los Servicios de
federación de Active Directory (AD FS), permite a un atacante ya
autenticado elevar privilegios localmente mediante controles de acceso
débiles.
AD FS es el servidor que gestiona los tokens para el resto de los fideicomisos de la red, por lo que una vulnerabilidad etiquetada como "local" en ese servidor merece mayor atención de la que sugiere su denominación. Microsoft no ha especificado qué privilegios otorga ni cómo la utilizaron los atacantes.
La vulnerabilidad de día cero divulgada públicamente que fue corregida es: CVE-2026-50661, una omisión de la función de seguridad BitLocker de Windows. Según se ha divulgado públicamente, podría permitir a los atacantes acceder a datos cifrados. "Un atacante que logre eludir la función de cifrado de dispositivo BitLocker en el dispositivo de almacenamiento del sistema. Un atacante con acceso físico al objetivo podría explotar esta vulnerabilidad para acceder a los datos cifrados", explica Microsoft.
Microsoft reconoce la importancia de las respuestas a incidentes para ambas vulnerabilidades explotadas. Se trata de fallos de elevación de privilegios en la infraestructura de identidad y colaboración: CVE-2026-56164 en SharePoint Server local y CVE-2026-56155 en los Servicios de Federación de Active Directory.
Ninguna de estas dos vulnerabilidades críticas es de ejecución remota de código. Son fallos de privilegios en dos sistemas que son más importantes de lo que sugieren sus puntuaciones: el repositorio de documentos de la empresa y el servidor que firma los inicios de sesión.
SharePoint recibió una segunda corrección importante. Rapid7 Labs reveló CVE-2026-55040, una vulnerabilidad que permite eludir la autenticación JWT que desarrollaron para su participación en Pwn2Own Berlin. La puntuación varía según la fuente: Rapid7 le otorga una puntuación de 5.3 y afirma que Microsoft le asignó una gravedad media, mientras que ZDI la clasifica como crítica con una puntuación de 9.1.
Su funcionamiento es indiscutible. Rapid7 la encadenó a un fallo de ejecución remota de código independiente para lograr la ejecución remota de código sin autenticación contra un servidor vulnerable, y la parte de ejecución remota de código aún no se ha parcheado. Microsoft tiene previsto solucionarlo en agosto.
La limpieza de RC4 que puede provocar fallos en los inicios de sesión
Esta actualización también finaliza el endurecimiento de Kerberos RC4 que Microsoft ha estado implementando durante varios años. El despliegue de julio elimina el interruptor de reversión RC4DefaultDisablementPhase, la vía de escape que los administradores han utilizado desde que Microsoft comenzó las medidas de seguridad en enero.
A partir de ahora, RC4 solo funcionará para las cuentas configuradas explícitamente para permitirlo. Si alguna cuenta de servicio en su entorno aún solicita tickets Kerberos RC4, la autenticación podría fallar en el momento en que se implemente la actualización.
El orden es importante: primero, auditar utilizando los eventos de auditoría de RC4 que Microsoft añadió en enero; luego, rotar las contraseñas de las cuentas de servicio marcadas para que Windows genere claves AES; y, finalmente, aplicar el parche. La rotación solo corrige las cuentas que carecen de claves AES.
Cualquier sistema configurado para usar RC4, o un cliente antiguo que solo admita RC4, necesita una corrección antes de que se implemente la actualización. Esta corrección no provoca una brecha de seguridad; causa problemas, pero te avisará a las 2 de la madrugada si omites la auditoría.
Por qué un mes tranquilo batió un récord
Julio es históricamente uno de los meses con menos actualizaciones en el calendario de Microsoft, lo que hace que una actualización de este tamaño destaque. Solo Windows representa 416 de las 622 vulnerabilidades, y ZDI contabilizó 95 vulnerabilidades de ejecución remota de código en toda la actualización.
En una publicación del 9 de julio, Microsoft comunicó a sus clientes que esperaran un "mayor volumen de actualizaciones de seguridad incluidas en cada versión a medida que la IA le ayuda a descubrir más problemas". Este trabajo incluye MDASH, su sistema de escaneo multimodal con agentes, que encontró 16 de las vulnerabilidades en el Patch Tuesday de mayo por sí solo. Microsoft no ha especificado cuántas de las 622 de julio surgieron de este proceso.
La misma automatización funciona en ambos sentidos. Una vez que se publica un parche, los atacantes pueden compararlo con la última versión, encontrar el error que corrige y crear un exploit funcional antes de que la mayoría de las empresas hayan terminado las pruebas. Esto elimina el antiguo margen de tiempo de espera y reduce la brecha hasta el "Miércoles de Explotación".
También debilita el análisis basado en CVSS. Cuando una versión contiene más de 600 CVE y una gran parte se clasifica como Alta o Crítica, la categoría "Crítica" deja de ser relevante para la clasificación. Los dos errores explotados este mes lo demuestran: ninguno es una vulnerabilidad grave de la versión 9.8, ambos son fallos de privilegio de nivel medio y ambos ya están en uso.
Actualizaciones recientes de otras compañías
Otros proveedores que publicaron actualizaciones o avisos en mayo de 2026 incluyen:
- Adobe recently patched seven max-severity ColdFusion and Campaign flaws, including the ColdFusion flaw CVE-2026-48282, which was later exploited in attacks.
- BeyondTrust released security updates for two critical authentication bypass flaws in its Remote Support (RS) and Privileged Remote Access (PRA) software.
- Cisco released security updates for numerous products, including Cisco Identity Services Engine, Catalyst Center, and ClamAV. Cisco also confirmed that CVE-2026-20230, fixed in June, was actively exploited in attacks.
- Fortinet released security updates for numerous flaws in FortiOS, FortiSandbox, FortiPam, FortiSandbox, FortiSASE, and FortiProxy.
- Gitea released a security update for a critical auth bypass in the Gitea Docker image.
- Ivanti released security updates for two vulnerabilities in Ivanti Xtraction.
- Linux kernel maintainers released a patch for the Januscape vulnerability, a flaw that allows attackers to escape a virtual machine and execute arbitrary code on the host.
- NVIDIA released security updates for NVIDIA Triton Inference Server and NVIDIA TensorRT-LLM.
- Progress Software released security updates for a high-severity path traversal zero-day vulnerability that led to the emergency shutdown of ShareFile Storage Zone Controllers last week.
- Ubiquiti released security updates for vulnerabilities in UniFi OS, including a maximum-severity flaw that can be exploited in command injection attacks.
- U-Boot maintainers introduced patches to fix new flaws that could enable stealthy firmware attacks.
- SAP released the July security updates, which include fixes for four critical flaws in NetWeaver, Commerce Cloud, and AppRouter.
- VMware released security updates for VMware Avi Load Balancer, which include authentication bypasses and remote code execution flaws.
- Zimbra released security updates for a critical XSS vulnerability affecting the Classic Web Client in the Zimbra Collaboration suite.


0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!