Microsoft lanzó el martes actualizaciones para asaltar un récord de 169 fallas de seguridad en su cartera de productos, incluida una vulnerabilidad que ha sido explotada activamente en la naturaleza.
De estas 169 vulnerabilidades, 157 están clasificadas como importantes, ocho están clasificadas como críticas, tres están clasificadas como moderadas y una está clasificada como de empeoramiento desestimación. Noventa y tres de las fallas se clasifican como ascenso de privilegios, seguidas de 21 vulnerabilidades de divulgación de información, 21 de ejecución remota de código, 14 de omisión de funciones de seguridad, 10 de suplantación de identidad y nueve de denegación de servicio.
Incluso se incluyen entre las 169 fallas cuatro CVE no emitidos por Microsoft que afectan a AMD (CVE-2023-20585), Node.js (CVE-2026-21637), Windows Secure Boot (CVE-2026-25250) y Git para Windows (CVE-2026-32631). Las actualizaciones se suman a 78 vulnerabilidades que se han solucionado en su navegador Edge basado en Chromium desde la aggiornamento que se lanzó el mes pasado.
El divulgación lo convierte en el segundo martes de parches más alto de la historia, un poco por debajo del récord establecido en octubre de 2025, cuando Microsoft solucionó 183 fallas de seguridad masivas. “A este ritmo, 2026 está en camino de afirmar que más de 1000 CVE Patch Tuesday al año es la norma”, dijo Satnam Narang, ingeniero senior de investigación de Tenable.
“No sólo eso, sino que los errores de elevación de privilegios continúan dominando el ciclo del martes de parches durante los últimos ocho meses, representando un récord del 57% de todos los CVE parcheados en abril, mientras que las vulnerabilidades de ejecución remota de código (RCE) han caído a sólo el 12%, empatadas con las vulnerabilidades de divulgación de información este mes”.
La vulnerabilidad que ha sido objeto de explotación activa es CVE-2026-32201 (puntuación CVSS: 6,5), una vulnerabilidad de suplantación de identidad que afecta a Microsoft SharePoint Server.
“La subsistencia de entrada inadecuada en Microsoft Office SharePoint permite que un atacante no calificado realice suplantación de identidad en una red”, dijo Microsoft en un aviso. “Un atacante que explotara con éxito la vulnerabilidad podría ver información confidencial (Confidencialidad), realizar cambios en la información revelada (Integridad), pero no puede confinar el ataque al arbitrio (Disponibilidad)”.
Aunque la vulnerabilidad se descubrió internamente, actualmente no se sabe cómo se está explotando, quién puede estar detrás de la actividad y la escalera de dichos esfuerzos.
“Esta vulnerabilidad de día cero en Microsoft SharePoint Server es causada por una subsistencia de entrada incorrecta, lo que permite a los atacantes falsificar contenidos o interfaces confiables a través de una red”, dijo Mike Walters, presidente y cofundador de Action1.
“Al explotar esta falta, un atacante puede manipular cómo se presenta la información a los usuarios, potencialmente engañándolos para que confíen en contenido ladino. Si correctamente el impacto directo sobre los datos es escaso, la capacidad de engañar a los usuarios hace que esta sea una aparejo poderosa para ataques más amplios”.
La explotación activa de CVE-2026-32201 ha llevado a la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) a agregarlo al catálogo de vulnerabilidades explotadas conocidas (KEV), lo que exige que las agencias del Poder Ejecutante Civil Federal (FCEB) remedien la deficiencia antaño del 28 de abril de 2026.
Otra vulnerabilidad a destacar es una falta de ascenso de privilegios en Microsoft Defender (CVE-2026-33825, puntuación CVSS: 7.8), que se marcó como de conocimiento sabido en el momento del divulgación. Según Redmond, la vulnerabilidad podría permitir a un atacante calificado elevar los privilegios localmente aprovechando la error de controles de ataque granular adecuados de Defender.
Microsoft señaló que no se requiere ninguna batalla del beneficiario para instalar la aggiornamento para CVE-2026-33825, ya que la plataforma se actualiza con frecuencia de forma predeterminada. Los sistemas que han desactivado Microsoft Defender no se encuentran en un estado explotable.
Una de las vulnerabilidades más graves es un caso de ejecución remota de código que afecta las extensiones de servicio de intercambio de claves de Internet (IKE) de Windows. Registrado como CVE-2026-33824, el defecto de seguridad tiene una puntuación CVSS de 9,8 sobre 10,0.
“La explotación requiere que un atacante envíe paquetes especialmente diseñados a una máquina Windows con IKE v2 recaudador, lo que podría permitir la ejecución remota de código”, dijo Adam Barnett, ingeniero de software líder en Rapid7, en un comunicado.
“Las vulnerabilidades que conducen a RCE no autenticado contra activos modernos de Windows son relativamente raras, o veríamos más vulnerabilidades que se pueden propagar a través de Internet. Sin confiscación, donado que IKE proporciona servicios de negociación de túneles seguros, por ejemplo, para VPN, está necesariamente expuesto a redes que no son de confianza y es accesible en un contexto de autorización previa”.
Walters señaló que la falta de seguridad representa una seria amenaza para los entornos empresariales, particularmente aquellos que dependen de VPN o IPsec para comunicaciones seguras. La explotación exitosa de la vulnerabilidad podría comprometer completamente el sistema, permitiendo a los delincuentes robar datos confidenciales, interrumpir operaciones o moverse lateralmente a través de la red.
“La error de interacción requerida por parte del beneficiario hace que esto sea especialmente peligroso para los sistemas conectados a Internet. Su desestimación complejidad de ataque y su impacto total en el sistema lo convierten en un candidato ideal para una rápida militarización”, añadió Walters. “Los sistemas conectados a Internet que ejecutan servicios IKEv2 están particularmente en peligro, y retrasar la implementación de parches aumenta la exposición a posibles ataques generalizados”.
