Patch Tuesday Mayo 2026

Mayo de 2026 está siendo un mes especialmente agitado para los equipos de seguridad que gestionan infraestructura Windows. En apenas 48 horas, se han publicado dos noticias que juntas pintan un panorama serio: Microsoft ha lanzado su Patch Tuesday más voluminoso del año con 138 vulnerabilidades corregidas, y simultáneamente un investigador anónimo ha publicado dos nuevos zero-days sin parche que afectan a BitLocker y al servicio CTFMON, amenazando con más revelaciones en junio. La IA está acelerando el descubrimiento de vulnerabilidades en ambos bandos, y el ritmo de parcheo que funcionaba hace tres años ya no es suficiente.

Parte I — Patch Tuesday Mayo 2026: 138 CVEs, 30 Críticos y la IA como Nueva Variable

El mayor volumen del año hasta ahora

Microsoft lanzó parches para 138 vulnerabilidades de seguridad en su cartera de productos. De las 138, 30 están calificadas como Críticas, 104 como Importantes, tres como Moderadas y una como de severidad Baja. Hasta 61 vulnerabilidades son fallos de escalada de privilegios, seguidas de 32 de ejecución remota de código, 15 de divulgación de información, 14 de spoofing, ocho de denegación de servicio, seis de bypass de características de seguridad y dos de manipulación.

Según Satnam Narang, Microsoft ya ha parcheado más de 500 CVEs en los cinco primeros meses del año. Un ritmo sin precedentes que tiene una causa identificada: la irrupción de la IA en el descubrimiento de vulnerabilidades.

La IA como Motor de Patch Tuesday: MDASH

Microsoft, en un informe publicado ese martes, señaló que el descubrimiento de vulnerabilidades asistido por IA se espera que incremente la escala de las publicaciones de Patch Tuesday en los próximos meses, añadiendo que 16 de los fallos corregidos este mes en la pila de red y autenticación de Windows fueron identificados a través de su nuevo sistema de descubrimiento de vulnerabilidades multimodelo impulsado por IA, denominado MDASH (multi-model agentic scanning harness).

Tom Gallagher, vicepresidente de ingeniería del Microsoft Security Response Center, señaló que en esta publicación mensual una mayor proporción de los problemas abordados fueron descubiertos por Microsoft, en comparación con meses anteriores, muchos de ellos aflorados a través de inversiones en IA.

La implicación es clara y debe tomarse en serio: la escala y velocidad del descubrimiento de vulnerabilidades que trae la IA puede incrementar las demandas operativas y requiere un enfoque consistente y disciplinado de la gestión de riesgos para asegurar que los problemas se mitiguen rápidamente y se corrijan oportunamente.

Las Vulnerabilidades Críticas que Debes Priorizar

DNS de Windows — CVE-2026-41096 (CVSS 9.8)

Un desbordamiento de búfer basado en heap que afecta al DNS de Windows podría permitir a un atacante no autenticado ejecutar código a través de la red. Un atacante podría explotar esta vulnerabilidad enviando una respuesta DNS especialmente diseñada a un sistema Windows vulnerable, haciendo que el cliente DNS procese la respuesta incorrectamente y corrompa la memoria. En ciertas configuraciones, esto podría permitir ejecutar código remotamente sin autenticación.

Netlogon — CVE-2026-41089 (CVSS 9.8)

Un desbordamiento de búfer basado en pila en Windows Netlogon que permite a un atacante no autenticado ejecutar código a través de la red sin necesidad de iniciar sesión ni tener acceso previo, enviando una solicitud de red especialmente diseñada a un servidor Windows que actúa como controlador de dominio. Un DC comprometido equivale a una organización comprometida.

Azure DevOps — CVE-2026-42826 (CVSS 10.0)

Una exposición de información sensible a un actor no autorizado en Azure DevOps que permite a un atacante no autorizado divulgar información a través de la red. No requiere acción del cliente. CVSS perfecto. Aunque Microsoft lo gestiona en su lado, refleja la amplitud del radio de impacto de este Patch Tuesday.

Hyper-V — CVE-2026-40402 (CVSS 9.3)

Un use-after-free en Windows Hyper-V que permite a un atacante no autenticado obtener privilegios SYSTEM y acceder al entorno host de Hyper-V. Crítico para entornos de virtualización.

Microsoft Dynamics 365 — CVE-2026-42898 (CVSS 9.9)

Una vulnerabilidad de inyección de código en Microsoft Dynamics 365 on-premises que permite a un atacante autenticado ejecutar código a través de la red. Como señaló Jack Bicer de Action1: con ninguna interacción de usuario requerida, y el potencial de impactar sistemas más allá del ámbito de seguridad original del componente vulnerable, un atacante con solo acceso básico podría convertir un servidor de aplicaciones de negocio en una plataforma de ejecución remota.

Microsoft SSO Plugin para Jira y Confluence — CVE-2026-41103 (CVSS 9.1)

Una implementación incorrecta del algoritmo de autenticación que permite a un atacante no autorizado obtener acceso no autorizado a Jira o Confluence como un usuario válido y realizar acciones con los mismos permisos que la cuenta comprometida.

⚠️ Fecha Crítica: 26 de Junio 2026 — Caducidad de Certificados Secure Boot PCA 2011

Este es el punto que más organizaciones están pasando por alto. Las organizaciones son aconsejadas a actualizar los certificados de Windows Secure Boot a sus equivalentes de 2023 antes del próximo mes, cuando los certificados emitidos en 2011 están programados para caducar.

Rain Baker, especialista senior de respuesta a incidentes en Nightwing, advirtió: "Los dispositivos que no reciban estas actualizaciones antes de la fecha límite del 26 de junio enfrentan 'fallos de seguridad catastróficos a nivel de arranque' o estados de seguridad degradados. Asegúrate de que toda tu flota rote exitosamente a los nuevos trust anchors antes del 26 de junio de 2026."

Parte II — YellowKey y GreenPlasma: Dos Zero-Days Publicados Sin Parche

Mientras Microsoft publicaba sus 138 correcciones, el investigador anónimo conocido como "Chaotic Eclipse" o "Nightmare-Eclipse" publicaba dos nuevos zero-days que aún no tienen parche oficial.

YellowKey: BitLocker Comprometido con un USB

El investigador describió YellowKey como "uno de los descubrimientos más insanos que jamás he encontrado", comparando el bypass de BitLocker con el funcionamiento de una puerta trasera, ya que el bug está presente únicamente en el Windows Recovery Environment (WinRE), un framework integrado diseñado para solucionar problemas comunes de sistemas operativos que no arrancan.

Sistemas afectados: Windows 11 y Windows Server 2022/2025.

¿Cómo funciona el ataque?

A alto nivel, implica copiar archivos "FsTx" especialmente diseñados en una unidad USB o en la partición EFI, conectar la unidad USB al equipo Windows objetivo con protecciones BitLocker activadas, reiniciar en WinRE, y desencadenar una shell manteniendo pulsada la tecla CTRL.

El bypass de TPM+PIN no ayuda:

El investigador explicó que TPM+PIN no ayuda, ya que el problema sigue siendo explotable independientemente.

Confirmación independiente:

El investigador de seguridad Will Dormann confirmó en Mastodon: "Pude reproducir YellowKey con una unidad USB conectada. Parece que los bits Transactional NTFS en una unidad USB son capaces de eliminar el fichero winpeshl.ini en OTRA UNIDAD (X:). Y obtenemos un prompt cmd.exe, con BitLocker desbloqueado en lugar del esperado entorno de recuperación de Windows."

Dormann señaló además: "Un directorio \System Volume Information\FsTx en un volumen tiene la capacidad de modificar el contenido de otro volumen cuando se reproduce. Para mí, esto en sí mismo suena como una vulnerabilidad."

GreenPlasma: Escalada de Privilegios a SYSTEM vía CTFMON

El segundo fallo flagged por Chaotic Eclipse es un caso de escalada de privilegios que podría explotarse para obtener una shell con permisos SYSTEM. Surge como resultado de lo que ha sido descrito como creación arbitraria de secciones en Windows CTFMON.

El PoC publicado está incompleto y carece del código necesario para obtener una shell SYSTEM completa. En su forma actual, el exploit puede permitir a un usuario sin privilegios crear objetos de sección de memoria arbitrarios dentro de objetos de directorio con acceso de escritura por SYSTEM, potencialmente habilitando la manipulación de servicios o drivers privilegiados que confían implícitamente en esas rutas.

El Contexto: Un Investigador Enfadado con Microsoft

Estos zero-days no son un hecho aislado. El desarrollo llega casi un mes después de que el investigador publicara tres zero-days de Defender denominados BlueHammer, RedSun y UnDefend tras expresar insatisfacción con el manejo de Microsoft del proceso de divulgación de vulnerabilidades. Los fallos han estado bajo explotación activa en la naturaleza.

Chaotic Eclipse dijo: "Espero que al menos intentes resolver la situación de forma responsable, no estoy seguro de qué tipo de reacción esperabas de mí cuando echaste más gasolina al fuego después de BlueHammer. El fuego continuará tanto tiempo como tú quieras, a menos que lo extingas."

Y lo más preocupante: Chaotic Eclipse también prometió una "gran sorpresa" para Microsoft, coincidiendo con el próximo lanzamiento de Patch Tuesday en junio de 2026.

El Ataque de Downgrade a BitLocker vía CVE-2025-48804

Para completar el panorama de amenazas sobre BitLocker, la empresa francesa Intrinsec ha detallado un método adicional de ataque. Un atacante puede explotar CVE-2025-48804 para realizar un downgrade del boot manager y eludir la protección de cifrado en sistemas Windows 11 totalmente parcheados en menos de cinco minutos.

Aunque Microsoft publicó correcciones en julio de 2025, el investigador Cassius Garat señala que el problema reside en que Secure Boot solo verifica el certificado de firma de un binario, no su versión. Como resultado, una versión vulnerable de "bootmgfw.efi" que no contiene el parche y está firmada con el certificado PCA 2011 de confianza puede usarse para eludir las salvaguardas de BitLocker.

Mitigación del downgrade attack: Para contrarrestar el riesgo, es esencial habilitar un PIN de BitLocker en el arranque para autenticación preboot y migrar el boot manager al certificado CA 2023, revocando el antiguo certificado PCA 2011.

Guía de Acción Prioritaria: Qué Hacer Esta Semana

Prioridad 1 — URGENTE: Zero-Days sin Parche

Para YellowKey (BitLocker bypass, sin parche):

Habilita un PIN de BitLocker para autenticación preboot

Restringe el acceso físico a equipos con información sensible

Deshabilita el arranque desde USB en BIOS/UEFI donde sea posible

Monitoriza intentos de arranque desde WinRE no autorizados

Para GreenPlasma (CTFMON privilege escalation, sin parche):

Aplica el principio de mínimo privilegio en cuentas de usuario

Monitoriza creación anómala de secciones de memoria en directorios SYSTEM

Mantén alertas en tu EDR para comportamientos inusuales de CTFMON

Prioridad 2 — CRÍTICO: Parches del Patch Tuesday

Orden de parcheo recomendado:

CVE-2026-41096 — DNS RCE sin autenticación (CVSS 9.8) → Exposición directa a internet

CVE-2026-41089 — Netlogon RCE en controladores de dominio (CVSS 9.8) → Impacto organizacional total

CVE-2026-40402 — Hyper-V SYSTEM privileges (CVSS 9.3) → Escape de virtualización

CVE-2026-41103 — SSO Plugin Jira/Confluence auth bypass (CVSS 9.1)

CVE-2026-42898 — Dynamics 365 code injection (CVSS 9.9) → Si usas CRM on-premises

Prioridad 3 — FECHA LÍMITE: 26 de Junio 2026

Rotación obligatoria de certificados Secure Boot de PCA 2011 a CA 2023:

powershell

# Verifica el estado actual de Secure Boot

Confirm-SecureBootUEFI

# Consulta el estado de los certificados instalados

Get-SecureBootPolicy

# Sigue la guía oficial de Microsoft para la migración:

# https://support.microsoft.com/topic/how-to-manage-the-windows-boot-manager-revocations

Si no completas esta migración antes del 26 de junio, tus sistemas pueden quedar en un estado de seguridad degradado o con fallos de arranque.

El Patrón Inquietante: IA en Ambos Lados de la Barrera

Este Patch Tuesday de mayo pone en evidencia algo que la industria debe interiorizar rápido: la IA está acelerando el descubrimiento de vulnerabilidades de forma exponencial, y lo hace en ambos lados de la barrera.

Microsoft usa MDASH para encontrar vulnerabilidades en su propio código antes que los atacantes. Investigadores como Xint Code (que descubrió Fail) usan IA para escalar investigaciones en horas que antes requerían semanas. Y los actores maliciosos están adoptando exactamente las mismas técnicas.

Microsoft reconoció que la escala y velocidad del descubrimiento de vulnerabilidades traída por la IA puede incrementar las demandas operativas. El vicepresidente Tom Gallagher instó: "Mantente al día en sistemas operativos, productos y parches soportados, y revisa la velocidad y consistencia de tu cadencia de parcheo."

Microsoft añadió: "Los fundamentos no han cambiado. El ritmo al que deben aplicarse está cambiando, y las organizaciones que se adapten a él serán las mejor posicionadas para lo que viene."

Conclusión: Patcha Rápido, Rota Certificados Antes del 26 de Junio, Prepárate para Junio

Mayo 2026 es un mes de triple urgencia para los equipos de seguridad Windows: parchear 138 vulnerabilidades priorizando DNS y Netlogon, implementar mitigaciones para YellowKey y GreenPlasma sin esperar parches que aún no existen, y completar la migración de certificados Secure Boot antes de una fecha límite que no es negociable.

Chaotic Eclipse ha prometido una "gran sorpresa" para el Patch Tuesday de junio. Con el ritmo actual, junio podría ser aún más intenso.