Vulnerabilidades críticas en Microsoft 2026

Vulnerabilidad crítica - 20/02

Introducción

CVE-2026-26119 es un identificador de vulnerabilidad asignado a un fallo serio de elevación de privilegios en Windows Admin Center (WAC), la plataforma de administración de Microsoft para servidores, clústeres y sistemas Windows. La naturaleza de la falla se debe a una autenticación incorrecta, clasificada como CWE-287. La vulnerabilidad puede permitir que un atacante autorizado con bajos privilegios eleve su acceso dentro de una red.

Si un entorno vulnerable no está parcheado, un atacante con una cuenta de bajo nivel podría elevar privilegios hasta igualar los del usuario que ejecuta WAC, haciéndose con el control administrativo de sistemas, modificación de configuraciones o incluso movimientos laterales dentro de la infraestructura, llegando incluso a un compromiso total del dominio.

Análisis

CVE-2026-26119 - CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H - 8,8

Aunque Microsoft no publica detalles de explotación técnica profunda, el problema se encuentra en la validación y manejo de autenticación dentro del gateway de WAC, que funciona como un Gateway web que corre en un servidor, un intermediario entre el navegador del administrador y los sistemas gestionados o como plataforma que ejecuta acciones administrativas sobre servidores Windows, clústeres, máquinas virtuales, etc.

La vulnerabilidad permite que un usuario autenticado con permisos limitados pueda manipular el flujo de autenticación o validación interna para ejecutar acciones con los privilegios del servicio o del usuario que ejecuta WAC. En muchos entornos empresariales, esto puede equivaler a permisos administrativos locales, acceso ampliado a servidores y movimientos laterales dentro del dominio.

Versiones afectadas

Afecta a todas las versiones de Windows Admin Center anteriores a la 2.6.4.

Recomendaciones

Actualizar a Windows Admin Center 2.6.4 o superior.

Workarounds

No hay workrounds para esta vulnerabilidad.

Referencias

• https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-26119
• https://www.cert.gov.py/vulnerabilidad-en-productos-microsoft-6/
• https://radar.offseq.com/threat/cve-2026-26119-cwe-287-improper-authentication-in--f09bdabb
• https://thehackernews.com/2026/02/microsoft-patches-cve-2026-26119.html

Vulnerabilidad crítica - 22/04

Introducción

CVE-2026-40372 afecta a ASP.NET Core de Microsoft y se enmarca dentro de un problema crítico relacionado con la validación incorrecta de firmas criptográficas en el sistema de protección de datos del framework. El fallo reside en la forma en que el componente de Data Protection gestiona la verificación de integridad de los datos cifrados, lo que puede permitir que un atacante remoto manipule o falsifique información que el sistema debería considerar confiable.

Como consecuencia de este defecto, un actor malicioso no autenticado podría construir o alterar estructuras de datos protegidas, como cookies de autenticación o tokens de sesión, logrando que el sistema las acepte como válidas. Esto abre la puerta a escenarios de suplantación de identidad y, en determinadas condiciones, a una elevación de privilegios dentro de aplicaciones que dependan de estos mecanismos de seguridad. El problema es especialmente grave porque afecta a componentes fundamentales del modelo de autenticación y autorización del framework.

Análisis

CVE-2026-40372 - CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N - 9,1

ASP.NET Core utiliza un subsistema llamado Data Protection para proteger información sensible como cookies de autenticación, tokens antifalsificación (anti-CSRF) o datos de sesión. Este sistema funciona cifrando y firmando los datos antes de enviarlos al cliente o almacenarlos. Cuando la aplicación necesita recuperar esos datos, el framework descifra el contenido y verifica la firma criptográfica usando claves almacenadas en lo que se conoce como key ring. Si la firma es válida, el sistema confía en que los datos no han sido alterados.

El problema asociado a CVE-2026-40372 surge en esa fase de verificación de la firma. Debido a una validación incorrecta o incompleta en determinadas condiciones, el sistema puede llegar a aceptar como válidos datos que han sido manipulados o que no deberían haber pasado la comprobación criptográfica. Esto significa que un atacante podría construir un payload aparentemente legítimo, con una estructura similar a la esperada, pero con contenido alterado, y el sistema lo trataría como auténtico.

Esto permite que un atacante fabrique cookies o tokens que el servidor acepta sin haber sido generados por la aplicación. Como consecuencia, puede suplantar identidades, mantener sesiones falsas o escalar privilegios dentro de la aplicación, dependiendo de cómo esté implementada la lógica de autorización.

Versiones afectadas

• ASP.NET Core 10.0 (versiones 10.0.0 a 10.0.6)
• Componentes relacionados con:

  • Microsoft.AspNetCore.DataProtection
  • Dependencias como DataProtection.StackExchangeRedis

Recomendaciones

• Actualizar a ASP.NET Core 10.0.7 o superior
• Aplicar el parche fuera de ciclo publicado por Microsoft
• Revisar dependencias NuGet relacionadas con DataProtection
• Validar integridad de autenticación y cookies tras actualización

Workarounds

No hay workarounds para esta vulnerabilidad.

Referencias

• https://dotnet.microsoft.com/en-us/download/dotnet/10.0
• https://www.bleepingcomputer.com/news/microsoft/microsoft-releases-emergency-security-updates-for-critical-aspnet-flaw/
• https://thehackernews.com/2026/04/microsoft-patches-critical-aspnet-core.html

Vulnerabilidad crítica en Microsoft Dynamics 365 (Online) - 06/05

Introducción

CVE-2026-32210 es una vulnerabilidad crítica de Microsoft Dynamics 365 (Online) con puntuación CVSS 3.1 base de 9.3, documentada en el Microsoft Security Response Center (MSRC).

El vector de ataque remoto (AV:N) con baja complejidad de acceso (AC:L) y ausencia de requisitos de autenticación (PR:N) permite a adversarios remotos no autenticados preparar exploits escalables y de alta tasa de éxito.

El requisito de interacción del usuario (UI:R) posiciona esta vulnerabilidad en el dominio de ataques de ingeniería social, phishing dirigido (spear-phishing) y campañas de distribución de contenido malicioso.

El cambio de ámbito (S:C) con impacto alto en Confidencialidad e Integridad (C:H/I:H) y sin impacto en Disponibilidad (A:N) indica una vulnerabilidad que permite al atacante leer y modificar datos o código en recursos fuera del componente vulnerable original, sin necesariamente interrumpir la operación del servicio.

Este vector es altamente indicativo de vulnerabilidades de tipo Server-Side Request Forgery (SSRF) en servicios web cloud, donde el atacante manipula peticiones del servidor para acceder o modificar recursos fuera del ámbito del componente vulnerable.

Análisis

El perfil técnico S:C/C:H/I:H/A:N en Microsoft Dynamics 365 (Online) corresponde a una vulnerabilidad de tipo Server-Side Request Forgery (SSRF) clasificada bajo CWE-918, en la que el servidor procesa peticiones manipuladas por el atacante hacia recursos internos no accesibles directamente. La combinación de C:H e I:H con S:C implica que un atacante puede no solo leer datos protegidos fuera del contexto del componente vulnerable, sino también escribir o modificar recursos del sistema más privilegiados, pavimentando el camino hacia compromisos de mayor envergadura.

En el contexto de las campañas de amenazas persistentes avanzadas dirigidas a entornos corporativos Microsoft Dynamics 365, CVE-2026-32210 representa un vector de entrada de alto impacto potencial. La explotación exitosa permitiría a un actor de amenaza realizar operaciones de spoofing sobre la red, accediendo o modificando datos fuera del ámbito del componente vulnerable. La ausencia de impacto en disponibilidad (A:N) sugiere que el ataque puede mantenerse silencioso y sin generar alertas por degradación de servicio, incrementando su valor para operaciones de espionaje corporativo o gubernamental de larga duración.

Las organizaciones expuestas deben verificar el estado de actualización de su instancia de Microsoft Dynamics 365 (Online), dado que al tratarse de un servicio exclusivamente alojado en la nube ("exclusively-hosted-service"), el parche ha sido desplegado directamente por Microsoft en sus servidores. El advisory está referenciado en el MSRC bajo el identificador CVE-2026-32210. Como medida complementaria, se recomienda monitorizar los accesos y actividad inusual en la instancia de Dynamics 365 como indicador primario de explotación activa.

Versiones afectadas

• Consultar advisory del fabricante para versiones afectadas
• Microsoft Dynamics 365 (Online)

Recomendaciones

1. Verificar que la instancia de Microsoft Dynamics 365 (Online) está actualizada y el parche ha sido correctamente desplegado por Microsoft.
2. Consultar el advisory del fabricante para mitigaciones específicas. 
3. Revisar inventario de activos para determinar exposición.

Workarounds

No hay workarounds específicos identificados.

Referencias

• https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-32210
• https://nvd.nist.gov/vuln/detail/CVE-2026-32210