Microsoft publicó el Patch Tuesday más grande de su historia: 622 vulnerabilidades corregidas en una sola actualización, más del triple del récord anterior de junio. Dentro de ese volumen hay dos zero-days que los atacantes ya están explotando activamente.
El dato clave no es el número 622, sino que las dos fallas explotadas son vulnerabilidades de escalamiento de privilegios de severidad media en la infraestructura de identidad y colaboración corporativa.
Los dos zero-days que deben parchearse primero
CVE-2026-56164 afecta a SharePoint Server on-premise y permite que un atacante no autenticado escale privilegios a través de la red: sin credenciales, sin interacción del usuario y de forma remota. Fue acreditada a los equipos de respuesta a incidentes de Mandiant y al equipo FLARE de Google, lo que sugiere que se descubrió dentro de ataques reales en curso.
El agravante: SharePoint Server 2016 y 2019 llegaron al fin del soporte extendido ese mismo día, y a diferencia de Windows Server o SQL Server, no cuentan con un programa ESU de pago como red de seguridad. Como mitigación adicional, Microsoft recomienda habilitar AMSI en modo completo en el servidor.
CVE-2026-56155 afecta a Active Directory Federation Services (AD FS) y permite que un atacante ya autenticado eleve privilegios localmente aprovechando controles de acceso débiles. Aunque la etiqueta dice "local", AD FS es el componente que firma los tokens de autenticación del resto del entorno: comprometerlo equivale a comprometer la confianza de toda la organización.
Ninguna de las dos figura todavía en el catálogo KEV de CISA, pero Microsoft ya las marca como explotadas. Esperar la publicación en KEV para actuar es un error de criterio.
Una cadena de ataque que sigue abierta
CVE-2026-55040, un bypass de autenticación JWT en SharePoint divulgado por Rapid7, fue encadenado por los investigadores con una vulnerabilidad separada de ejecución remota de código para lograr RCE sin autenticación. Esa segunda mitad de la cadena aún no está parcheada y Microsoft la corregirá recién en agosto: el parche de julio es lo único que hoy rompe la cadena.
La limpieza de RC4 en Kerberos puede romper autenticaciones
Esta actualización cierra el endurecimiento de Kerberos al eliminar el interruptor de reversión RC4DefaultDisablementPhase. Desde ahora, RC4 solo funciona en cuentas configuradas explícitamente para permitirlo. Si alguna cuenta de servicio todavía solicita tickets Kerberos con RC4, la autenticación puede fallar apenas se aplique la actualización. El orden recomendado es:
- Auditar primero, con los eventos de auditoría RC4 que Microsoft incorporó en enero.
- Rotar las contraseñas de las cuentas marcadas, para que Windows genere claves AES.
- Parchear recién después de completar los dos pasos anteriores.
Cuando una actualización trae más de 600 CVEs y buena parte se califica como Alta o Crítica, el CVSS deja de servir como criterio de priorización. Los dos zero-days explotados de este mes son de severidad media. La prioridad debe ordenarse por explotación real —KEV, EPSS y la marca de explotación de Microsoft—, no por puntaje.
Conclusión
Microsoft ya advirtió que este volumen será la nueva normalidad: el uso de IA en el descubrimiento de vulnerabilidades está multiplicando los hallazgos internos, y la misma automatización permite a los atacantes analizar los parches y construir exploits funcionales antes de que la mayoría termine sus pruebas. El margen del "esperemos una semana" ya no existe.
Para las organizaciones que dependen de SharePoint o Active Directory, la ventana de exposición es real hoy. Si tu empresa necesita evaluar su postura ante vulnerabilidades críticas y fortalecer la gestión de TI, en Inforland Perú podemos acompañarte en ese diagnóstico — antes de que un parche pendiente se convierta en un incidente.
Solicita una demo