Microsoft lanzó el martes actualizaciones de seguridad para encarar un conjunto de 59 fallas en su software, incluidas seis vulnerabilidades que, según dijo, han sido explotadas en la naturaleza.
De los 59 defectos, cinco están clasificados como críticos, 52 como importantes y dos como moderados en pesantez. Veinticinco de las vulnerabilidades parcheadas se han clasificado como ascenso de privilegios, seguidas de ejecución remota de código (12), suplantación de identidad (7), divulgación de información (6), omisión de funciones de seguridad (5), denegación de servicio (3) y secuencias de comandos entre sitios (1).
Vale la pena señalar que los parches se suman a tres fallas de seguridad que Microsoft ha abordado en su navegador Edge desde el propagación de la modernización del martes de parches de enero de 2026, incluida una vulnerabilidad moderada que afecta al navegador Edge para Android (CVE-2026-0391, puntuación CVSS: 6.5) que podría permitir a un atacante no facultado realizar suplantación de identidad en una red aprovechando una “tergiversación de información crítica en la interfaz de beneficiario”.
Encabezando la repertorio de actualizaciones de este mes se encuentran seis vulnerabilidades que han sido marcadas como explotadas activamente:
- CVE-2026-21510 (Puntuación CVSS: 8,8): una defecto en el mecanismo de protección en Windows Shell que permite a un atacante no facultado eludir una característica de seguridad en una red.
- CVE-2026-21513 (Puntuación CVSS: 8,8): una defecto en el mecanismo de protección en MSHTML Framework que permite a un atacante no facultado eludir una característica de seguridad en una red.
- CVE-2026-21514 (Puntuación CVSS: 7,8): dependencia de entradas que no son de confianza en una audacia de seguridad en Microsoft Office Word que permite a un atacante no facultado eludir una característica de seguridad localmente.
- CVE-2026-21519 (Puntuación CVSS: 7,8): un camino a un apelación que utiliza un tipo incompatible (“confusión de tipos”) en el Administrador de ventanas del escritorio que permite a un atacante facultado elevar los privilegios localmente.
- CVE-2026-21525 (Puntuación CVSS: 6,2): una desreferencia de puntero incompetente en el Administrador de conexión de camino remoto de Windows que permite a un atacante no facultado prohibir el servicio localmente.
- CVE-2026-21533 (Puntuación CVSS: 7,8): una diligencia de privilegios inadecuada en el Escritorio remoto de Windows que permite a un atacante facultado elevar los privilegios localmente.
A los propios equipos de seguridad de Microsoft y al Google Threat Intelligence Group (GTIG) se les atribuye el descubrimiento y el mensaje de las tres primeras fallas, que figuran como conocidas públicamente en el momento de su publicación. Actualmente no hay detalles sobre cómo se están explotando las vulnerabilidades y si fueron utilizadas como pertrechos como parte de la misma campaña.
“CVE-2026-21513 es una característica de seguridad que evita la vulnerabilidad en Microsoft MSHTML Framework, un componente central utilizado por Windows y múltiples aplicaciones para representar contenido HTML”, dijo Jack Bicer, director de investigación de vulnerabilidades de Action1. “Se debe a una defecto en el mecanismo de protección que permite a los atacantes eludir los mensajes de ejecución cuando los usuarios interactúan con archivos maliciosos. Un archivo manipulado puede eludir silenciosamente los mensajes de seguridad de Windows y desencadenar acciones peligrosas con un solo clic”.
Satnam Narang, ingeniero senior de investigación de Tenable, dijo que CVE-2026-21513 y CVE-2026-21514 tienen “muchas similitudes” con CVE-2026-21510, la principal diferencia es que CVE-2026-21513 igualmente se puede explotar usando un archivo HTML, mientras que CVE-2026-21514 solo se puede explotar usando un archivo de Microsoft Office.
En cuanto a CVE-2026-21525, está vinculado a un día cero que el servicio 0patch de ACROS Security dijo activo descubierto en diciembre de 2025 mientras investigaba otra defecto relacionada en el mismo componente (CVE-2025-59230).
“Estas (CVE-2026-21519 y CVE-2026-21533) son vulnerabilidades de ascenso de privilegios locales, lo que significa que un atacante ya debe activo obtenido camino a un host delicado”, dijo Kev Breen, director senior de investigación de amenazas cibernéticas en Immersive, a The Hacker News por correo electrónico. “Esto podría ocurrir a través de un archivo adjunto taimado, una vulnerabilidad de ejecución remota de código o un movimiento limítrofe desde otro sistema comprometido”.
“Una vez en el host, el atacante puede utilizar estas vulnerabilidades de ascenso para elevar los privilegios al SISTEMA. Con este nivel de camino, un actor de amenazas podría desactivar las herramientas de seguridad, implementar malware adicional o, en el peor de los casos, consentir a secretos o credenciales que podrían sufrir a un compromiso total del dominio”.
Este avance ha llevado a la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) a adicionar las seis vulnerabilidades a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), lo que exige que las agencias del Poder Ejecutor Civil Federal (FCEB) apliquen las correcciones antaño del 3 de marzo de 2026.
La modernización igualmente coincide con el propagación de certificados de puesta en marcha seguro actualizados por parte de Microsoft para reemplazar los certificados originales de 2011 que vencerán a fines de junio de 2026. Los nuevos certificados se instalarán mediante el proceso de modernización mensual regular de Windows sin ninguna influencia adicional.
“Si un dispositivo no recibe los nuevos certificados de puesta en marcha seguro antaño de que caduquen los certificados de 2011, la PC seguirá funcionando normalmente y el software existente seguirá ejecutándose”, dijo el hércules tecnológico. “Sin confiscación, el dispositivo entrará en un estado de seguridad degradado que limitará su capacidad para tomar futuras protecciones a nivel de puesta en marcha”.
“A medida que se descubren nuevas vulnerabilidades a nivel de puesta en marcha, los sistemas afectados quedan cada vez más expuestos porque ya no pueden instalar nuevas mitigaciones. Con el tiempo, esto igualmente puede crear problemas de compatibilidad, ya que los sistemas operativos, firmware, hardware o software dependientes del puesta en marcha seguro más nuevos pueden no cargarse”.
Al mismo tiempo, la compañía dijo que igualmente está fortaleciendo las protecciones predeterminadas en Windows a través de dos iniciativas de seguridad, el Modo de seguridad elemental de Windows y la Transparencia y consentimiento del beneficiario. Las actualizaciones están bajo el ámbito de Secure Future Initiative y Windows Resiliency Initiative.
“Con el modo de seguridad elemental de Windows, Windows avanzará en torno a el funcionamiento con salvaguardas de integridad del tiempo de ejecución habilitadas de forma predeterminada”, señaló. “Estas salvaguardas garantizan que sólo se permitan ejecutar aplicaciones, servicios y controladores debidamente firmados, lo que ayuda a proteger el sistema contra manipulaciones o cambios no autorizados”.
La Transparencia y Consentimiento del Heredero, análoga al entorno de Transparencia, Consentimiento y Control (TCC) de macOS de Apple, tiene como objetivo introducir un enfoque consistente para manejar las decisiones de seguridad. El sistema activo avisará a los usuarios cuando las aplicaciones intenten consentir a bienes confidenciales, como archivos, la cámara o el micrófono, o cuando intenten instalar otro software no deseado.
“Estas indicaciones están diseñadas para ser claras y prácticas, y siempre tendrás la posibilidad de revisar y cambiar tus opciones más delante”, afirmó Logan Iyer, ingeniero distinguido de Microsoft. “Todavía se dilación que las aplicaciones y los agentes de IA cumplan con estándares de transparencia más altos, brindando tanto a los usuarios como a los administradores de TI una mejor visibilidad de sus comportamientos”.
