Las actualizaciones de seguridad mensuales del gigante tecnológico corrigen seis vulnerabilidades que se cree que se explotan activamente, según el rastreador de amenazas de Trend Micro.
Las actualizaciones de seguridad mensuales de Microsoft publicadas el martes incluyeron correcciones para seis vulnerabilidades que se sabe que se utilizan activamente en ataques cibernéticos.
En total, 58 CVE (vulnerabilidades y exposiciones comunes) recibieron parches de software como parte de lo que comúnmente se conoce como “martes de parches”. Según Dustin Childs de Trend Micro, este es un problema típico de CVE para la versión de febrero.
[Related: Microsoft’s Rob Lefferts On Rise Of AI Attacks: ‘Be Prepared To Go Faster’]
Pero “el número de errores bajo ataque activo es extraordinariamente alto”, escribió Childs, jefe de concientización sobre amenazas de la Iniciativa Día Cero de Trend Micro. publicación de blog Martes.
“Microsoft enumera seis errores explotados en el lanzamiento, tres de los cuales se enumeran públicamente”, escribió. “El mes pasado sólo se aprovechó un error, pero se parchearon el doble de CVE. Veremos si nos dirigimos a otro ‘verano caluroso de exploits’ como el que vimos hace unos años, o si esto es sólo una aberración”.
CRN Contacté a Microsoft para hacer comentarios.
Seis vulnerabilidades explotadas activamente afectan a Windows, Office (Microsoft Word) e Internet Explorer:
- Vulnerabilidad de omisión de la característica de seguridad del Shell de Windows (CVE-2026-21510)
- Vulnerabilidad de omisión de característica de seguridad de Microsoft Word (CVE-2026-21514)
- Vulnerabilidad de elevación de privilegios en el administrador de ventanas de escritorio (CVE-2026-21519)
- Vulnerabilidad de elevación de privilegios en los servicios de escritorio remoto de Windows (CVE-2026-21533)
- Vulnerabilidad de omisión de funciones de seguridad de Internet Explorer (CVE-2026-21513)
- Vulnerabilidad de denegación de servicio del Administrador de conexión de acceso remoto de Windows (CVE-2026-21525)
Según Childs, cinco de las seis vulnerabilidades explotadas están calificadas como “significativas”, con puntuaciones de gravedad que oscilan entre 7,8 y 8,8 sobre 10,0. El sexto defecto (CVE-2026-21525) se considera un problema moderado con una puntuación de 6,2 sobre 10,0.
Las fallas de mayor gravedad incluyen la vulnerabilidad de omisión de la característica de seguridad del Shell de Windows (CVE-2026-21510), que tiene una puntuación de gravedad de 8,8 y “también puede clasificarse como ejecución de código”.
“Un error con un solo clic que permite la ejecución de código es algo poco común”, escribió Childs. “Definitivamente pruebe e implemente esta solución rápidamente”.
Dijo que la otra vulnerabilidad con un nivel de gravedad de 8,8 es la vulnerabilidad de omisión de la función de seguridad de Internet Explorer (CVE-2026-21513).
“Aunque según la mayoría de las medidas ya no existe, IE todavía existe en los sistemas Windows, e invocarlo siempre resulta en una vulnerabilidad de algún tipo”, escribió Childs. “Este error ocurre de manera similar al error de Shell anterior, en el sentido de que requiere la interacción del usuario pero puede llevar a la ejecución del código. El error aquí es la capacidad de acceder solo a IE, lo cual no debería ser posible. Nuevamente, pruebe e implemente rápidamente esta solución”.
Mientras tanto, Microsoft enumera las otras cinco fallas abordadas en la versión mensual como vulnerabilidades críticas, según Childs.
Los errores críticos recientemente revelados afectan a varios servicios de Azure, como Azure Arc, Azure Front Door, Azure Functions y ACI (Azure Container Instances) Secret Containers.
