Microsoft lanzó el martes actualizaciones para abordar un récord de 169 fallas de seguridad en su cartera de productos, incluida una vulnerabilidad que ha sido explotada activamente en la naturaleza.
De estas 169 vulnerabilidades, 157 están clasificadas como importantes, ocho están clasificadas como críticas, tres están clasificadas como moderadas y una está clasificada como de gravedad baja. Noventa y tres de las fallas se clasifican como escalada de privilegios, seguidas de 21 vulnerabilidades de divulgación de información, 21 de ejecución remota de código, 14 de omisión de funciones de seguridad, 10 de suplantación de identidad y nueve de denegación de servicio.
También se incluyen entre las 169 fallas cuatro CVE no emitidos por Microsoft que afectan a AMD (CVE-2023-20585), Node.js (CVE-2026-21637), Windows Secure Boot (CVE-2026-25250) y Git para Windows (CVE-2026-32631). Las actualizaciones se suman a 78 vulnerabilidades que se han solucionado en su navegador Edge basado en Chromium desde la actualización que se lanzó el mes pasado.
El lanzamiento lo convierte en el segundo martes de parches más grande de la historia, un poco por debajo del récord establecido en octubre de 2025, cuando Microsoft solucionó 183 fallas de seguridad masivas. «A este ritmo, 2026 está en camino de afirmar que más de 1000 CVE Patch Tuesday al año es la norma», dijo Satnam Narang, ingeniero senior de investigación de Tenable.
«No sólo eso, sino que los errores de elevación de privilegios continúan dominando el ciclo del martes de parches durante los últimos ocho meses, representando un récord del 57% de todos los CVE parcheados en abril, mientras que las vulnerabilidades de ejecución remota de código (RCE) han caído a sólo el 12%, empatadas con las vulnerabilidades de divulgación de información este mes».
La vulnerabilidad que ha sido objeto de explotación activa es CVE-2026-32201 (puntuación CVSS: 6,5), una vulnerabilidad de suplantación de identidad que afecta a Microsoft SharePoint Server.
«La validación de entrada inadecuada en Microsoft Office SharePoint permite que un atacante no autorizado realice suplantación de identidad en una red», dijo Microsoft en un aviso. «Un atacante que explotara con éxito la vulnerabilidad podría ver información confidencial (Confidencialidad), realizar cambios en la información revelada (Integridad), pero no puede limitar el acceso al recurso (Disponibilidad)».
Aunque la vulnerabilidad se descubrió internamente, actualmente no se sabe cómo se está explotando, quién puede estar detrás de la actividad y la escala de dichos esfuerzos.
«Esta vulnerabilidad de día cero en Microsoft SharePoint Server es causada por una validación de entrada incorrecta, lo que permite a los atacantes falsificar contenidos o interfaces confiables a través de una red», dijo Mike Walters, presidente y cofundador de Action1.
«Al explotar esta falla, un atacante puede manipular cómo se presenta la información a los usuarios, potencialmente engañándolos para que confíen en contenido malicioso. Si bien el impacto directo sobre los datos es limitado, la capacidad de engañar a los usuarios hace que esta sea una herramienta poderosa para ataques más amplios».
La explotación activa de CVE-2026-32201 ha llevado a la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) a agregarlo al catálogo de vulnerabilidades explotadas conocidas (KEV), lo que exige que las agencias del Poder Ejecutivo Civil Federal (FCEB) remedien la deficiencia antes del 28 de abril de 2026.
Otra vulnerabilidad a destacar es una falla de escalada de privilegios en Microsoft Defender (CVE-2026-33825, puntuación CVSS: 7.8), que se marcó como de conocimiento público en el momento del lanzamiento. Según Redmond, la vulnerabilidad podría permitir a un atacante autorizado elevar los privilegios localmente aprovechando la falta de controles de acceso granular adecuados de Defender.
Microsoft señaló que no se requiere ninguna acción del usuario para instalar la actualización para CVE-2026-33825, ya que la plataforma se actualiza con frecuencia de forma predeterminada. Los sistemas que han desactivado Microsoft Defender no se encuentran en un estado explotable.
Si bien el aviso de Microsoft no menciona el código de explotación público, se dice que el parche resuelve un día cero conocido como BlueHammer que fue compartido en GitHub el 3 de abril de 2026 por un investigador de seguridad descontento que usaba el alias «Chaotic Eclipse» después de una falla en la comunicación con el gigante tecnológico sobre su manejo del proceso de divulgación de vulnerabilidades. Al momento de escribir este artículo, el acceso al repositorio público de exploits requiere que el usuario inicie sesión en GitHub.
Según Cyderes, la vulnerabilidad explota el proceso de actualización de Microsoft Defender a través del abuso de instantáneas de volumen para escalar a un usuario con pocos privilegios a NT AUTHORITYSYSTEM encadenando características legítimas de Windows.
«Durante ciertos flujos de trabajo de actualización y corrección de Defender, Defender crea una instantánea temporal de instantáneas de volumen», explicaron los investigadores de seguridad Rahul Ramesh y Reegun Jayapaul a principios de este mes. «BlueHammer utiliza devoluciones de llamadas y bloqueos de operaciones de Cloud Files para pausar Defender en el momento preciso, dejando la instantánea montada y las secciones de registro SAM, SISTEMA y SEGURIDAD accesibles: archivos que normalmente están bloqueados en tiempo de ejecución».
«La explotación exitosa permite a un atacante leer la base de datos SAM, descifrar hash de contraseña NTLM, hacerse cargo de una cuenta de administrador local y generar un shell a nivel de SISTEMA, todo mientras restaura el hash de contraseña original para evitar la detección».
El investigador de seguridad Will Dormann, en una publicación en Mastodon, confirmó que el exploit BlueHammer ya no funciona y «parece solucionado a partir de CVE-2026-33825», aunque «algunas de las partes sospechosas del exploit todavía parecen funcionar».
Una de las vulnerabilidades más graves es un caso de ejecución remota de código que afecta las extensiones de servicio de intercambio de claves de Internet (IKE) de Windows. Registrado como CVE-2026-33824, el defecto de seguridad tiene una puntuación CVSS de 9,8 sobre 10,0.
«La explotación requiere que un atacante envíe paquetes especialmente diseñados a una máquina Windows con IKE v2 habilitado, lo que podría permitir la ejecución remota de código», dijo Adam Barnett, ingeniero de software líder en Rapid7, en un comunicado.
«Las vulnerabilidades que conducen a RCE no autenticado contra activos modernos de Windows son relativamente raras, o veríamos más vulnerabilidades que se pueden propagar a través de Internet. Sin embargo, dado que IKE proporciona servicios de negociación de túneles seguros, por ejemplo, para VPN, está necesariamente expuesto a redes que no son de confianza y es accesible en un contexto de autorización previa».
Walters señaló que la falla de seguridad representa una seria amenaza para los entornos empresariales, particularmente aquellos que dependen de VPN o IPsec para comunicaciones seguras. La explotación exitosa de la vulnerabilidad podría comprometer completamente el sistema, permitiendo a los delincuentes robar datos confidenciales, interrumpir operaciones o moverse lateralmente a través de la red.
«La falta de interacción requerida por parte del usuario hace que esto sea especialmente peligroso para los sistemas conectados a Internet. Su baja complejidad de ataque y su impacto total en el sistema lo convierten en un candidato ideal para una rápida militarización», añadió Walters. «Los sistemas conectados a Internet que ejecutan servicios IKEv2 están particularmente en riesgo, y retrasar la implementación de parches aumenta la exposición a posibles ataques generalizados».