Microsoft lanzó el martes parches para un conjunto de 84 nuevas vulnerabilidades de seguridad afectando a varios componentes de software, incluidos dos que han sido catalogados como de conocimiento público.

De estos, ocho están clasificados como Críticos y 76 como Importantes en cuanto a su gravedad. Cuarenta y seis de las vulnerabilidades parcheadas se relacionan con la escalada de privilegios, seguidas de 18 de ejecución remota de código, 10 de divulgación de información, cuatro de suplantación de identidad, cuatro de denegación de servicio y dos fallas de omisión de funciones de seguridad.

Las correcciones se suman a 10 vulnerabilidades que se han solucionado en su navegador Edge basado en Chromium desde el lanzamiento de la actualización del martes de parches de febrero de 2026.

Los dos días cero divulgados públicamente son CVE-2026-26127 (Puntuación CVSS: 7,5), una vulnerabilidad de denegación de servicio en .NET, y CVE-2026-21262 (Puntuación CVSS: 8,8), una vulnerabilidad de elevación de privilegios en SQL Server.

La vulnerabilidad con la puntuación CVSS más alta en la actualización de este mes es una falla crítica de ejecución remota de código en el Programa de precios de dispositivos de Microsoft. CVE-2026-21536 (Puntuación CVSS: 9,8), según Microsoft, se ha mitigado por completo y no se requiere ninguna acción por parte de los usuarios. A la plataforma autónoma de descubrimiento de vulnerabilidades XBOW, impulsada por inteligencia artificial (IA), se le atribuye el mérito de descubrir e informar el problema.

«Este mes, más de la mitad (55%) de todos los CVE de Patch Tuesday fueron errores de escalada de privilegios, y de ellos, seis fueron clasificados como más probables de explotación en el componente de gráficos de Windows, la infraestructura de accesibilidad de Windows, el kernel de Windows, el servidor SMB de Windows y Winlogon», dijo Satnam Narang, ingeniero senior de investigación de Tenable.

«Sabemos que estos errores suelen ser utilizados por actores de amenazas como parte de una actividad posterior al compromiso, una vez que ingresan a los sistemas a través de otros medios (ingeniería social, explotación de otra vulnerabilidad)».

La falla de escalada de privilegios de Winlogon (CVE-2026-25187puntuación CVSS: 7,8), en particular, aprovecha la resolución inadecuada de enlaces para obtener privilegios del SISTEMA. El investigador de Google Project Zero, James Forshaw, ha sido reconocido por informar sobre la vulnerabilidad.

«La falla permite a un atacante autenticado localmente con privilegios bajos explotar una condición de seguimiento de enlace en el proceso Winlogon y escalar a privilegios del SISTEMA», dijo Jacob Ashdown, ingeniero de ciberseguridad de Immersive. «La vulnerabilidad no requiere interacción del usuario y tiene una baja complejidad de ataque, lo que la convierte en un objetivo sencillo una vez que un atacante logra afianzarse».

Otra vulnerabilidad a destacar es CVE-2026-26118 (Puntuación CVSS: 8,8), un error de falsificación de solicitudes del lado del servidor en el servidor Azure Model Context Protocol (MCP) que podría permitir a un atacante autorizado elevar los privilegios en una red.

«Un atacante podría aprovechar este problema enviando entradas especialmente diseñadas a una herramienta de servidor Azure Model Context Protocol (MCP) que acepte parámetros proporcionados por el usuario», dijo Microsoft.

«Si el atacante puede interactuar con el agente respaldado por MCP, puede enviar una URL maliciosa en lugar de un identificador de recurso normal de Azure. Luego, el servidor MCP envía una solicitud saliente a esa URL y, al hacerlo, puede incluir su token de identidad administrado. Esto permite al atacante capturar ese token sin requerir acceso administrativo».

La explotación exitosa de la vulnerabilidad podría permitir a un atacante obtener los permisos asociados con la identidad administrada del servidor MCP. Luego, el atacante podría aprovechar este comportamiento para acceder o realizar acciones en cualquier recurso al que la identidad administrada esté autorizada a acceder.

Entre los errores de gravedad crítica resueltos por Microsoft se encuentra una falla de divulgación de información en Excel. Seguimiento como CVE-2026-26144 (puntuación CVSS de 7,5), se ha descrito como un caso de secuencias de comandos entre sitios que se produce como resultado de una neutralización inadecuada de la entrada durante la generación de la página web.

El fabricante de Windows dijo que un atacante que explotara la deficiencia podría causar que el modo Copilot Agent extraiga datos como parte de un ataque sin clic.

«Las vulnerabilidades de divulgación de información son especialmente peligrosas en entornos corporativos donde los archivos Excel a menudo contienen datos financieros, propiedad intelectual o registros operativos», dijo Alex Vovk, director ejecutivo y cofundador de Action1, en un comunicado.

«Si son explotados, los atacantes podrían extraer silenciosamente información confidencial de los sistemas internos sin activar alertas obvias. Las organizaciones que utilizan funciones de productividad asistidas por IA pueden enfrentar una mayor exposición, ya que los agentes automatizados podrían transmitir involuntariamente datos confidenciales fuera de los límites corporativos».

Los parches llegan cuando Microsoft dijo que está cambiando el comportamiento predeterminado de Windows Autopatch al permitir actualizaciones de seguridad con parches activos para ayudar a proteger los dispositivos a un ritmo más rápido.

«Este cambio en el comportamiento predeterminado llega a todos los dispositivos elegibles en Microsoft Intune y a aquellos que acceden al servicio a través de Microsoft Graph API a partir de la actualización de seguridad de Windows de mayo de 2026», Redmond dicho. «Aplicar correcciones de seguridad sin esperar a que se reinicie puede hacer que las organizaciones alcancen un 90% de cumplimiento en la mitad del tiempo, mientras usted mantiene el control».