Microsoft envió su mayor Martes de parches registrado hoy, y dos de las correcciones cierran agujeros que los atacantes ya están explotando. El lanzamiento cubre 622 de los CVE de Microsoft según su recuento de la Guía de actualización de seguridad, más del triple del máximo anterior de junio de alrededor de 200.
Esos dos insectos vivos son los que hay que atrapar primero. Microsoft le da crédito a los servicios de respuesta a incidentes por ambos. Ambas son fallas de elevación de privilegios en la infraestructura de identidad y colaboración: CVE-2026-56164 en SharePoint Server local y CVE-2026-56155 en Servicios de federación de Active Directory.
Tampoco lo es uno de los llamativos aspectos críticos de la ejecución remota de código. Son errores de privilegios en dos sistemas que importan más de lo que sugieren sus puntuaciones: el almacén de documentos de la empresa y la casilla que firma sus inicios de sesión.
Los dos días cero para parchear primero
CVE-2026-56164, una falla de SharePoint Server que Microsoft dice que está siendo explotada en ataques, permite a un atacante no autenticado escalar privilegios a través de la red. Sin credenciales, sin interacción del usuario, remoto. Microsoft lo atribuyó a los respondedores de incidentes de Mandiant y al equipo FLARE de Google, lo que apunta a un descubrimiento dentro de ataques activos, aunque Microsoft no ha dicho cómo fue explotado ni por quién.
Si ejecuta SharePoint autohospedado, este es el que debe tomar primero, y hay un segundo reloj: hoy también es el día en que SharePoint Server 2016 y 2019 llegan al final del soporte extendido. A diferencia de Windows Server o SQL Server, ninguno de los dos tiene un programa ESU pago al que recurrir.
Más allá de los parches, el aviso de Microsoft señala que habilitar AMSI en modo completo en el servidor mitiga el ataque. SharePoint ha sido un imán para los atacantes desde que la cadena ToolShell arrasó servidores sin parches en 2025, y no ha dejado de serlo.
CVE-2026-56155, una falla de los Servicios de Federación de Active Directory que Microsoft también señala como explotada, permite a un atacante ya autenticado elevar privilegios localmente a través de controles de acceso débiles. La propia unidad de respuesta a incidentes DART de Microsoft se lleva el crédito.
AD FS es la caja que firma los tokens para el resto de los fideicomisos patrimoniales, por lo que una falla etiquetada como “local” en ese host merece más atención de lo que sugiere la etiqueta. Microsoft no ha dicho qué privilegios otorga ni cómo los usaron los atacantes.
Vale la pena saberlo para cualquiera que esté siguiendo los plazos de remediación: ninguno de los CVE está en el catálogo de vulnerabilidades explotadas conocidas de CISA al momento de escribir este artículo. La propia clasificación de explotabilidad de Microsoft ya marca a ambos como explotados. No espere a que aparezca una lista de KEV para hacerlo oficial.
Microsoft también califica el error de SharePoint con una gravedad bastante baja, lo que es un buen recordatorio de que la etiqueta de gravedad no es lo que hay que clasificar este mes.
Un tercer error y un aterrizaje de la cadena SharePoint en agosto
El tercer día cero se reveló públicamente pero no está bajo ataque: CVE-2026-50661, otra omisión de BitLocker. Necesita acceso físico al dispositivo, por lo que no es una emergencia remota. Parcheelo, pero no salta la cola. Continúa una serie de omisiones de BitLocker que se remontan a bitskrieg y YellowKey a principios de este año.
SharePoint obtuvo una segunda solución notable. Rapid7 Labs reveló CVE-2026-55040, un bypass de autenticación JWT que construyeron para su entrada Pwn2Own Berlin. La puntuación depende de a quién le preguntes: Rapid7 lo sitúa en 5,3 y dice que Microsoft le asignó una gravedad media, mientras que ZDI lee la versión como Crítica en 9,1.
Lo que hace no está en discusión. Rapid7 lo encadenó a un error de ejecución remota de código separado para alcanzar RCE no autenticado contra un servidor vulnerable, y la mitad de RCE aún no está parcheada; Está previsto que Microsoft lo solucione en agosto.
Eso hace que July evite la solución que rompe la cadena. Una diferencia de cuatro puntos sobre un error también le indica cuánto vale un número de gravedad este mes.
La limpieza RC4 que puede interrumpir los inicios de sesión
Esta actualización también finaliza el endurecimiento Kerberos RC4 de varios años de Microsoft. La implementación de julio elimina el interruptor de reversión RC4DefaultDisablementPhase, la trampilla de escape en la que se han apoyado los administradores desde que Microsoft comenzó la ofensiva en enero.
Después de esto, RC4 funciona sólo para cuentas configuradas explícitamente para permitirlo. Si alguna cuenta de servicio en su entorno aún solicita tickets RC4 Kerberos, puede fallar la autenticación en el momento en que llega la actualización.
El orden importa: primero audite, utilizando los eventos de auditoría RC4 que Microsoft agregó en enero, luego rote las contraseñas en las cuentas de servicio marcadas, para que Windows genere claves AES para ellas y luego aplique el parche. La rotación solo corrige las cuentas a las que les faltan claves AES.
Cualquier cosa anclada a RC4 por configuración, o un cliente heredado que no habla nada más, necesita su propia solución antes de que llegue la actualización. Este no te hará violar; Rompe cosas, pero te avisará a las 2 a.m. si te saltas la auditoría.
Por qué un mes tranquilo estableció un récord
Julio es históricamente uno de los meses más livianos en el calendario de Microsoft, lo que hace que un lanzamiento de este tamaño se destaque. Solo Windows representa 416 de los 622, y ZDI cuenta 95 errores de ejecución remota de código en toda la versión.
Aquí es donde se encuentra el resto y lo que vale la pena sacar de cada montón:
| Familia de productos | CVE | vale la pena retirarse |
|---|---|---|
| ventanas | 416 | Tanto el AD FS de día cero (CVE-2026-56155) y la omisión de BitLocker revelada (CVE-2026-50661) vive aquí. La puntuación más alta del lanzamiento es un VMSwitch RCE, CVE-2026-57092 a las 9,9. También cinco RCE de DHCP y 21 errores de controladores NTFS y ReFS que ZDI lee como una causa raíz compartida. |
| Oficina | 82 | Contado una vez. Microsoft vuelve a enumerar los mismos 82 en una pista separada de Office 2016, razón por la cual algunos medios informan 164. |
| Borde de Microsoft | 46 | ZDI cuenta 21 como propios de Microsoft en lugar de nuevos listados de Chromium. |
| Herramientas para desarrolladores | 27 | La característica de seguridad pasa por alto Visual Studio, VS Code y GitHub Copilot, principalmente inyección y recorrido de ruta. |
| Servidor SharePoint | 17 | El día cero explotado (CVE-2026-56164) y bypass de cadena de Rapid7 (CVE-2026-55040), más un par RCE crítico que incluye CVE-2026-50522 en 9,8. |
| Azur | 11 | Nada marcó como urgente. |
| Servidor SQL | 8 | Un par RCE, CVE-2026-54117 y CVE-2026-54118ambos 8,8. |
| Defensor | 5 | Dos RCE críticos. |
| Servidor de intercambio | 5 | Un XSS almacenado en Outlook Web Access, CVE-2026-55008en 9,6. Microsoft lo cataloga como suplantación de identidad, lo que lo subestima. |
| Otro | 5 | Nada marcó como urgente. |
Los recuentos provienen de la Guía de actualización de seguridad de Microsoft, que suma un total de 622 CVE únicos este mes. ZDI, contando de forma independiente, llegó a 621, y su revisión de julio es la fuente de las llamadas por familia.
Microsoft llamó a este cinco días antes. En una publicación del 9 de julio, les dijo a los clientes que esperaran un “mayor volumen de actualizaciones de seguridad incluidas en cada versión de seguridad” a medida que la IA les ayuda a descubrir más problemas. Ese trabajo incluye MDASH, su sistema de escaneo agente multimodelo, que encontró por sí solo 16 de los errores en el martes de parches de mayo. Microsoft no ha dicho cuántos de los 622 de julio salieron de ese proceso.
La misma automatización corta en ambos sentidos. Una vez que se envía un parche, los atacantes pueden compararlo con la última versión, encontrar el error que cierra y crear un exploit que funcione antes de que la mayoría de las tiendas hayan terminado de probar. Eso devora el antiguo colchón de “esperar una semana” y reduce la brecha con Exploit Wednesday.
También destruye la clasificación basada en CVSS. Cuando una versión tiene más de 600 CVE y una gran parte tiene una calificación Alta o Crítica, “crítica” deja de clasificar nada. Los dos errores explotados de este mes lo aclaran: ninguno es un título 9.8, ambos son fallas de privilegios de nivel medio y ambos ya están en uso.
Ordene por qué se está explotando, utilizando KEV, EPSS y el indicador de explotación de Microsoft, no por puntuación, y parchee más rápido que antes. El número en la caja sólo está subiendo.