Productos FTTH

Tienda FFTH desde 2004

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon Microsoft corrige récord de 622 vulnerabilidades, incluyendo dos zero-days explotados activamente


Microsoft lanzó su mayor actualización de seguridad hasta la fecha con 622 vulnerabilidades corregidas, destacando dos fallos ya explotados en SharePoint y Active Directory. Se recomienda priorizar estas correcciones sobre las puntuaciones de severidad tradicionales, ya que afectan a infraestructuras críticas de identidad y documentos. Además, la actualización finaliza el soporte de RC4 en Kerberos, lo que podría causar fallos de inicio de sesión si no se auditan las cuentas primero.





 Microsoft ha lanzado hoy su Patch Tuesday más grande de la historia, y dos de las correcciones cierran agujeros que los atacantes ya están explotando. El lanzamiento cubre 622 de los CVE propios de Microsoft según su Guía de Actualizaciones de Seguridad, más del triple del récord anterior de junio, que fue de unos 200.

Esos dos errores activos son los que debes priorizar. Microsoft agradece a los equipos de respuesta a incidentes por ambos. Ambos son fallos de elevación de privilegios en la infraestructura de identidad y colaboración: CVE-2026-56164 en SharePoint Server local y CVE-2026-56155 en los Servicios de Federación de Active Directory.

Ninguno de ellos es uno de esos críticos llamativos de ejecución remota de código. Son errores de privilegios en dos sistemas que importan más de lo que sugieren sus puntuaciones: el almacén de documentos de la empresa y la caja que firma sus inicios de sesión.

Los dos zero-days que debes parchear primero

CVE-2026-56164, un fallo de SharePoint Server que Microsoft afirma que está siendo explotado en ataques, permite que un atacante no autenticado escale privilegios a través de la red. Sin credenciales, sin interacción del usuario, de forma remota. Microsoft lo atribuyó a los equipos de respuesta a incidentes de Mandiant y al equipo FLARE de Google, lo que indica un descubrimiento dentro de ataques activos, aunque Microsoft no ha dicho cómo fue explotado ni por quién.

Si utilizas SharePoint autoalojado, este es el primero que debes instalar, y hay un segundo factor de presión: hoy es también el día en que SharePoint Server 2016 y 2019 llegan al final del soporte extendido. A diferencia de Windows Server o SQL Server, ninguno tiene un programa ESU pagado al cual recurrir.

Más allá del parche, el aviso de Microsoft señala que habilitar AMSI en Modo Completo en el servidor mitiga el ataque. SharePoint ha sido un imán para los atacantes desde que la cadena ToolShell arrasó los servidores no parcheados en 2025, y no ha dejado de serlo.

CVE-2026-56155, un fallo de los Servicios de Federación de Active Directory que Microsoft también marca como explotado, permite que un atacante ya autenticado eleve privilegios localmente a través de controles de acceso débiles. La unidad de respuesta a incidentes DART de Microsoft recibe el crédito.

AD FS es la caja que firma los tokens en los que confía el resto del entorno, razón por la cual un fallo etiquetado como "local" en ese host merece más atención de la que sugiere la etiqueta. Microsoft no ha dicho qué privilegios concede ni cómo los atacantes lo utilizaron.

Vale la pena saber para cualquiera que siga los plazos de remediación: ninguno de los dos CVE está en el catálogo de Vulnerabilidades Explotadas Conocidas de CISA al momento de escribir esto. La propia calificación de explotabilidad de Microsoft ya marca ambos como explotados. No esperes a que aparezcan en la lista de KEV para que sea oficial.

Microsoft también califica el error de SharePoint con una severidad bastante baja, lo cual es un buen recordatorio de que la etiqueta de severidad no es el criterio por el cual debes ordenar tus prioridades este mes.

Un tercer error y una cadena de sharepoint llegando en agosto

El tercer zero-day fue divulgado públicamente pero no está bajo ataque: CVE-2026-50661, otro bypass de BitLocker. Requiere acceso físico al dispositivo, por lo que no es una emergencia remota. Parchéalo, pero no tiene prioridad absoluta. Continúa una serie de bypasses de BitLocker que se remontan a bitskrieg y YellowKey a principios de año.

SharePoint recibió una segunda corrección notable. Rapid7 Labs divulgó CVE-2026-55040, un bypass de autenticación JWT que crearon para su entrada en Pwn2Own Berlín. La puntuación depende de a quién preguntes: Rapid7 lo sitúa en 5.3 y dice que Microsoft le asignó una severidad media, mientras que ZDI lee el lanzamiento como Crítico con un 9.1.

Lo que hace el error no está en disputa. Rapid7 lo encadenó a un error de ejecución remota de código separado para lograr un RCE no autenticado contra un servidor vulnerable, y la parte del RCE aún no está parcheada; Microsoft tiene previsto corregirlo en agosto.

Eso convierte al bypass de julio en la corrección que rompe la cadena. Una diferencia de cuatro puntos en un solo error también te dice cuánto vale un número de severidad este mes.

La limpieza de rc4 que puede romper los inicios de sesión

Esta actualización también finaliza el endurecimiento de Kerberos RC4 de varios años de Microsoft. El despliegue de julio elimina el interruptor de reversión RC4DefaultDisablementPhase, la salida de emergencia en la que los administradores se han apoyado desde que Microsoft comenzó la restricción en enero.

Después de esto, RC4 funcionará solo para cuentas configuradas explícitamente para permitirlo. Si alguna cuenta de servicio en tu entorno todavía solicita tickets Kerberos RC4, la autenticación puede fallar en el momento en que se aplique la actualización.

El orden es importante: primero audita, utilizando los eventos de auditoría RC4 que Microsoft añadió en enero, luego rota las contraseñas en las cuentas de servicio marcadas para que Windows genere claves AES para ellas, y finalmente parchea. La rotación solo soluciona las cuentas que carecen de claves AES.

Cualquier cosa anclada a RC4 por configuración, o un cliente heredado que no hable otro protocolo, necesita su propia solución antes de la actualización. Esto no provocará que te hackeen; romperá las cosas, pero te despertará a las 2 a.m. si te saltas la auditoría.

Por qué un mes tranquilo estableció un récord

Julio es históricamente uno de los meses más ligeros en el calendario de Microsoft, lo que hace que un lanzamiento de este tamaño destaque. Solo Windows representa 416 de los 622, y ZDI cuenta 95 errores de ejecución remota de código en todo el lanzamiento.

Aquí es donde se encuentra el resto y qué vale la pena extraer de cada grupo:

Familia de productos | CVEs | Destacados
  • Windows | 416 | Aquí residen tanto el zero-day de AD FS (CVE-2026-56155) como el bypass de BitLocker divulgado (CVE-2026-50661). La puntuación más alta es un RCE de VMSwitch, CVE-2026-57092 con 9.9. También cinco RCE de DHCP y 21 errores de controladores NTFS y ReFS.
  • Office | 82 | Microsoft los lista dos veces bajo una pista separada de Office 2016.
  • Microsoft Edge | 46 | ZDI cuenta 21 como propios de Microsoft y no como relistos de Chromium.
  • Herramientas de Desarrollador | 27 | Bypasses de funciones de seguridad en Visual Studio, VS Code y GitHub Copilot.
  • SharePoint Server | 17 | El zero-day explotado (CVE-2026-56164), el bypass de Rapid7 (CVE-2026-55040) y un par de RCE Críticos incluyendo CVE-2026-50522 con 9.8.
  • Azure | 11 | Nada marcado como urgente.
  • SQL Server | 8 | Un par de RCE, CVE-2026-54117 y CVE-2026-54118, ambos con 8.8.
  • Defender | 5 | Dos RCE Críticos.
  • Exchange Server | 5 | Un XSS almacenado en Outlook Web Access, CVE-2026-55008, con 9.6.
  • Otros | 5 | Nada marcado como urgente.

Los recuentos provienen de la Guía de Actualizaciones de Seguridad de Microsoft, que totaliza 622 CVE únicos este mes.

Microsoft anunció esto cinco días antes. En una publicación del 9 de julio en su blog, dijo a los clientes que esperaran un "mayor volumen de actualizaciones de seguridad incluidas en cada lanzamiento" ya que la IA le ayuda a descubrir más problemas.

La misma automatización funciona en ambos sentidos. Una vez que se lanza un parche, los atacantes pueden compararlo con la versión anterior, encontrar el error que cierra y construir un exploit funcional antes de que la mayoría de las empresas hayan terminado las pruebas. Esto elimina el antiguo colchón de "esperar una semana" y reduce la brecha hacia el "Miércoles del Exploit".

También anula el triaje basado en CVSS. Cuando un lanzamiento lleva más de 600 CVE y una gran parte están calificados como Altos o Críticos, lo "crítico" deja de servir para organizar. Los dos errores explotados de este mes lo demuestran: ninguno es un titular de 9.8, ambos son fallos de privilegios de nivel medio y ambos ya están en uso.

Ordena según lo que esté siendo explotado, utilizando KEV, EPSS y la marca de explotado de Microsoft, no por la puntuación, y parchea más rápido de lo que solías hacerlo. El número en la caja solo seguirá subiendo.

Fuente:
THN

0 comments :

Post a Comment

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.