Microsoft lanzó el martes actualizaciones de software para parchear 167 vulnerabilidades de seguridad en los sistemas operativos Windows y software relacionado. La actualización incluye correcciones para un zero-day en SharePoint Server y una debilidad en Windows Defender conocida como 'BlueHammer'.
Desde Redmond, se advierte actualmente que los atacantes están aprovechando la vulnerabilidad CVE-2026-32201 en SharePoint Server, la cual permite suplantar contenido de confianza a través de una red. Según el medio Krebs on Security, este fallo ya está siendo explotado activamente.
Mike Walters, presidente y cofundador de Action1, señaló que la CVE-2026-32201 puede utilizarse para engañar a empleados, socios o clientes mediante la presentación de información falsa dentro de entornos de SharePoint en los que se confía. “Esta CVE puede facilitar ataques de phishing, la manipulación no autorizada de datos o campañas de ingeniería social que deriven en un compromiso mayor del sistema”, afirmó Walters. “La presencia de una explotación activa aumenta significativamente el riesgo para las organizaciones”.
Por su parte, Ryan Braunstein, gerente de Seguridad y TI en Automox, destacó que el parche también aborda una vulnerabilidad de ejecución remota de código en SQL Server, la CVE-2026-33120. “Un error permite que un atacante acceda a su instancia de SQL desde la red”, explicó Braunstein. “El otro permite que alguien que ya esté dentro de la red pueda escalar sus privilegios hasta obtener el control total”.
Microsoft también solucionó BlueHammer (CVE-2026-33825), un error de escalada de privilegios en Windows Defender. BleepingComputer informó que un investigador publicó el código de explotación para este fallo tras mostrar su frustración por la respuesta de Microsoft. Will Dormann, analista principal de vulnerabilidades en Tharros, confirmó que el código de explotación público de BlueHammer ya no funciona tras la instalación de los parches de hoy.
Nuevas protecciones para RDP
Como parte de las actualizaciones acumulativas de abril de 2026 para Windows 10 y 11, Microsoft ha introducido nuevas protecciones contra archivos maliciosos de Escritorio Remoto (.rdp). Estos archivos suelen ser utilizados por administradores para redirigir recursos locales a hosts remotos, pero los atacantes suelen abusar de esta función para el robo de datos.
BleepingComputer reportó que el grupo APT29, vinculado al Estado ruso, ha utilizado anteriormente archivos RDP fraudulentos para robar credenciales y datos. Al abrirse, estos archivos pueden redirigir unidades locales, capturar datos del portapapeles o interceptar mecanismos de autenticación como Windows Hello.
Microsoft declaró: "Los actores maliciosos hacen un uso indebido de esta capacidad enviando archivos RDP a través de correos electrónicos de phishing. Cuando una víctima abre el archivo, su dispositivo se conecta silenciosamente a un servidor controlado por el atacante y comparte recursos locales, otorgándole al atacante acceso a archivos, credenciales y mucho más".
Tras la actualización, los usuarios que abran un archivo RDP por primera vez verán un aviso educativo único. Los intentos posteriores de abrir estos archivos activarán un cuadro de diálogo de seguridad que enumerará todas las redirecciones de recursos locales, con todas las opciones desactivadas por defecto. Si un archivo no cuenta con una firma digital, Windows mostrará una advertencia de 'Precaución: Conexión remota desconocida'.
