Microsoft corrige 77 vulnerabilidades en su actualización de marzo de 2026

Microsoft soluciona 77 vulnerabilidades en su actualización de marzo de 2026

Microsoft ha publicado su actualización mensual de seguridad, conocida como Patch Tuesday de marzo de 2026, para corregir al menos 77 vulnerabilidades en sus sistemas operativos Windows y otros productos. A diferencia del mes anterior, que incluyó cinco fallos de día cero, este ciclo no presenta amenazas críticas de ese tipo. Sin embargo, algunos de los parches merecen una atención prioritaria por parte de las organizaciones.

Vulnerabilidades destacadas en el Patch Tuesday de marzo

Dos de los errores corregidos ya habían sido públicamente revelados:

• CVE-2026-21262: Permite a un atacante elevar sus privilegios en SQL Server 2016 y versiones posteriores. Según Adam Barnett, de Rapid7, "no se trata de una vulnerabilidad cualquiera: un atacante autorizado puede obtener permisos de administrador del sistema (sysadmin) a través de la red". Aunque su puntuación CVSS v3 es de 8.8 (justo por debajo del umbral de gravedad crítica), requiere privilegios bajos para ser explotada. Barnett advierte: "Sería arriesgado posponer la aplicación de este parche".
• CVE-2026-26127: Afecta a aplicaciones que ejecutan .NET. Su explotación podría provocar denegaciones de servicio al causar un bloqueo, aunque existe la posibilidad de ataques adicionales durante el reinicio del servicio.

Como es habitual en los parches de Microsoft, también se han corregido vulnerabilidades críticas en Microsoft Office:

• CVE-2026-26113 y CVE-2026-26110: Son fallos de ejecución remota de código que pueden activarse simplemente al visualizar un mensaje malicioso en el panel de vista previa.

Errores con mayor probabilidad de explotación

Según Satnam Narang, de Tenable, el 55% de las vulnerabilidades publicadas este mes están relacionadas con la elevación de privilegios. De ellas, seis han sido calificadas con "probabilidad de explotación alta", afectando a componentes como:

• Windows Graphics Component
• Windows Accessibility Infrastructure
• Windows Kernel
• Windows SMB Server
• Winlogon

Entre los fallos más relevantes se incluyen:

• CVE-2026-24291: Asignación incorrecta de permisos en la infraestructura de accesibilidad de Windows, permitiendo alcanzar el nivel SYSTEM (puntuación CVSS 7.8).
• CVE-2026-24294: Autenticación inadecuada en el componente principal de SMB (puntuación CVSS 7.8).
• CVE-2026-24289: Flaws de corrupción de memoria y condición de carrera de alta gravedad (puntuación CVSS 7.8).
• CVE-2026-25187: Debilidad en el proceso Winlogon, descubierta por Google Project Zero (puntuación CVSS 7.8).

Primera vulnerabilidad descubierta por IA en Windows

Ben McCarthy, ingeniero principal de ciberseguridad en Immersive, ha destacado CVE-2026-21536, un fallo crítico de ejecución remota de código en el componente Microsoft Devices Pricing Program. Aunque Microsoft ya ha solucionado el problema, este caso es notable por ser una de las primeras vulnerabilidades identificadas y reconocidas oficialmente por un agente de IA.

El descubrimiento fue realizado por XBOW, un agente autónomo de pruebas de penetración basado en inteligencia artificial, que ha ocupado los primeros puestos en el ranking de HackerOne durante el último año. McCarthy señala que este hallazgo demuestra cómo la IA puede detectar vulnerabilidades críticas (con puntuación CVSS 9.8) sin necesidad de acceder al código fuente.

"Aunque Microsoft ya ha parcheado y mitigado la vulnerabilidad, este caso refleja un cambio hacia la identificación de fallos complejos mediante IA a mayor velocidad. Esto sugiere que la investigación de vulnerabilidades asistida por IA tendrá un papel cada vez más relevante en el panorama de la ciberseguridad".

Los usuarios y administradores de sistemas deben aplicar los parches lo antes posible para proteger sus infraestructuras frente a posibles ataques.