Microsoft corrige 84 vulnerabilidades críticas en marzo, incluyendo dos zero-days
Publicado el
Microsoft ha emitido parches para un total de 84 vulnerabilidades de seguridad en su actualización de Patch Tuesday de marzo. De estas, ocho han sido clasificadas como críticas y 76 como importantes. La mayoría de las vulnerabilidades corregidas, un total de 46, están relacionadas con escalada de privilegios, seguidas por 18 que permiten la ejecución remota de código, 10 de divulgación de información, cuatro de suplantación, cuatro de denegación de servicio, y dos que permiten el bypass de características de seguridad.
Entre los parches se incluye la corrección de dos zero-days conocidos públicamente: CVE-2026-26127, una vulnerabilidad de denegación de servicio en .NET con un puntaje CVSS de 7.5, y CVE-2026-21262, una vulnerabilidad de escalada de privilegios en SQL Server con un puntaje CVSS de 8.8. La vulnerabilidad más crítica de esta actualización es CVE-2026-21536, que afecta al Microsoft Devices Pricing Program, con un CVSS de 9.8. Este problema ya ha sido mitigado, por lo que no se requiere ninguna acción por parte de los usuarios. La plataforma de descubrimiento de vulnerabilidades impulsada por inteligencia artificial, XBOW, ha sido reconocida por identificar y reportar este problema.
Según Satnam Narang, ingeniero de investigación senior en Tenable, más de la mitad (55%) de las CVEs de este mes estaban relacionadas con escalada de privilegios. Seis de estas vulnerabilidades han sido consideradas más propensas a ser explotadas en componentes como Windows Graphics Component, Windows Accessibility Infrastructure, Windows Kernel, Windows SMB Server y Winlogon. Estos errores son frecuentemente utilizados por actores maliciosos como parte de actividades posteriores a un compromiso, una vez que logran acceder a los sistemas mediante otros métodos, como la ingeniería social o la explotación de vulnerabilidades existentes.
La vulnerabilidad de escalada de privilegios en Winlogon (CVE-2026-25187, con un CVSS de 7.8) permite a un atacante autenticado local con bajos privilegios aprovechar una condición de resolución de enlaces para obtener privilegios de SYSTEM. El investigador de Google Project Zero, James Forshaw, ha sido reconocido por reportar esta vulnerabilidad, que no requiere interacción del usuario y tiene una complejidad de ataque baja, lo cual la convierte en un objetivo accesible una vez que se ha logrado un acceso inicial.
Otra vulnerabilidad destacada es CVE-2026-26118 (CVSS 8.8), un error de suplantación de solicitudes del lado del servidor en el servidor del Azure Model Context Protocol (MCP). Esta falla podría permitir a un atacante autorizado elevar privilegios a través de la red. Microsoft ha indicado que un atacante podría explotar esta vulnerabilidad enviando entradas especialmente diseñadas a un servidor MCP que acepta parámetros proporcionados por el usuario. Si el atacante interactúa con el agente respaldado por MCP, puede presentar una URL maliciosa en lugar de un identificador de recurso normal de Azure. El servidor MCP luego envía una solicitud saliente a esa URL, lo que podría incluir su token de identidad gestionada, permitiendo al atacante capturar el token sin necesidad de acceso administrativo.
Entre los errores de alta gravedad también se encuentra una vulnerabilidad de divulgación de información en Excel, registrada como CVE-2026-26144 (CVSS 7.5). Este problema se presenta como un caso de cross-site scripting debido a una neutralización inadecuada de la entrada durante la generación de páginas web. Microsoft advierte que un atacante que aproveche esta vulnerabilidad podría provocar que el Copilot Agent exfiltre datos como parte de un ataque de cero clic.
Las vulnerabilidades de divulgación de información son especialmente peligrosas en entornos corporativos, donde los archivos de Excel a menudo contienen datos financieros, propiedad intelectual o registros operativos. Alex Vovk, CEO y cofundador de Action1, ha alertado que, si se explotan, los atacantes podrían extraer información confidencial sin que se disparen alertas evidentes. Las organizaciones que utilizan funciones de productividad asistidas por IA pueden enfrentarse a una mayor exposición, ya que los agentes automatizados podrían enviar datos sensibles fuera de los límites corporativos de forma involuntaria.
Finalmente, Microsoft ha anunciado cambios en el comportamiento predeterminado de Windows Autopatch, habilitando actualizaciones de seguridad hotpatch para ayudar a asegurar los dispositivos más rápidamente. Este nuevo comportamiento se implementará en todos los dispositivos elegibles en Microsoft Intune y aquellos que accedan al servicio a través de Microsoft Graph API a partir de la actualización de seguridad de Windows de mayo de 2026. Aplicar correcciones de seguridad sin necesidad de reiniciar puede llevar a las organizaciones a alcanzar un 90% de cumplimiento en la mitad del tiempo, manteniendo el control sobre sus sistemas.