Microsoft parcha un récord de 570 vulnerabilidades y tres zero-days

El Patch Tuesday de julio corrige 570 fallos, incluidos dos zero-days explotados activamente en Active Directory y SharePoint, y uno divulgado públicamente en BitLocker.

Microsoft publicó su Patch Tuesday de julio de 2026 con correcciones para 570 vulnerabilidades, la cifra más alta registrada en un solo ciclo mensual. El paquete incluye tres zero-days: dos explotados activamente en ataques y uno divulgado públicamente.

Los tres zero-days

El primero, CVE-2026-56155, es una falla explotada activamente en Active Directory Federation Services que concede privilegios administrativos. El segundo, CVE-2026-56164, afecta a Microsoft SharePoint Server: la ausencia de autenticación en una función crítica permite a un atacante no autorizado elevar privilegios a través de la red. El tercero, CVE-2026-50661, es una omisión de función de seguridad en Windows BitLocker que fue divulgada públicamente.

El resto del paquete

Del total, 59 vulnerabilidades se clasificaron como críticas: 48 de ejecución remota de código, 9 de elevación de privilegios, 1 de omisión de seguridad y 1 de suplantación. Microsoft atribuyó el aumento en el volumen de fallos corregidos a un sistema de descubrimiento de vulnerabilidades que identificó más debilidades en el código de Windows.

Lectura Tabuga Intelligence

El volumen no es la noticia; la prioridad operativa sí lo es. Los zero-days de ADFS y SharePoint habilitan escalada de privilegios en la identidad y la colaboración corporativa, dos superficies que un atacante usa para moverse lateralmente. La secuencia correcta es parchar primero los servidores expuestos —controladores de identidad y portales SharePoint— y luego las estaciones de trabajo. Para equipos de TI en la región, con ventanas de mantenimiento ajustadas, la recomendación es tratar este ciclo como excepcional y no como rutina mensual.

Fuente: BleepingComputer, 15 de julio de 2026 — bleepingcomputer.com.