El Patch Tuesday de marzo corrige 84 CVEs de Microsoft más 10 de terceros. CVE-2026-21262 permite escalar a sysadmin en SQL Server, mientras que CVE-2026-26127 causa denegación de servicio en aplicaciones .NET.
Microsoft publicó este martes 10 de marzo su tercer Patch Tuesday de 2026, corrigiendo 84 nuevos CVEs en productos Windows y componentes asociados, junto con 10 actualizaciones adicionales de terceros y Chromium que elevan el total a 94 vulnerabilidades parcheadas. La edición de marzo destaca por incluir dos zero-days vulnerabilidades ya conocidas públicamente antes de la corrección en Microsoft SQL Server y la plataforma .NET, aunque ninguno presenta evidencia de explotación activa según el análisis de Zero Day Initiative.
El parche más crítico del mes corresponde a CVE-2026-21262, una vulnerabilidad de escalada de privilegios en SQL Server con puntuación CVSS de 8.8 sobre 10. El fallo permite que un usuario autenticado en la base de datos eleve sus permisos silenciosamente hasta convertirse en administrador del sistema (sysadmin). Con ese nivel de acceso, un atacante podría leer, modificar o eliminar datos sensibles, crear nuevas cuentas y manipular configuraciones críticas. La explotación no requiere interacción del usuario y puede ejecutarse remotamente mediante consultas SQL especialmente diseñadas.
Según el advisory oficial de Microsoft, la vulnerabilidad ya era de conocimiento público al momento del lanzamiento, lo que aumenta la urgencia de aplicación en entornos corporativos.
El segundo zero-day, CVE-2026-26127, afecta las plataformas .NET 9.0 y 10.0 en Windows, macOS y Linux, con una puntuación CVSS de 7.5. Se trata de una condición de lectura fuera de límites que permite a un atacante no autenticado provocar denegación de servicio remota. Cualquier aplicación construida sobre las versiones afectadas de .NET —incluyendo APIs web, servicios de pago o aplicaciones de línea de negocio— podría volverse inestable o caer repetidamente. Adam Barnett, ingeniero senior de Rapid7, advirtió que aunque el impacto inmediato sea la caída del servicio, podrían surgir oportunidades para ataques más sofisticados durante los reinicios forzados.
Entre los CVEs adicionales de esta entrega se encuentran CVE-2026-26110 y CVE-2026-26113, dos vulnerabilidades de ejecución remota de código en Microsoft Office explotables a través del panel de vista previa de Outlook. Dustin Childs de ZDI señaló que ha perdido la cuenta de cuántos parches similares se han publicado en el último año, y advirtió que es cuestión de tiempo antes de que aparezcan exploits activos. También destaca CVE-2026-23669, una vulnerabilidad RCE en Windows Print Spooler que evoca los peores recuerdos de Print Nightmare, permitiendo ejecución de código arbitrario sin interacción del usuario una vez que el atacante está autenticado.
Para organizaciones en LATAM que operan infraestructura crítica sobre SQL Server o dependen de aplicaciones .NET, la recomendación es priorizar CVE-2026-21262 y CVE-2026-26127 en la primera ventana de mantenimiento disponible. Los entornos con exposición a internet —servidores SQL accesibles desde redes no confiables o aplicaciones .NET de cara al público— deberían actualizar en las próximas 24 a 48 horas. El resto de los parches puede programarse dentro del ciclo habitual, sin perder de vista que la divulgación pública de los zero-days reduce significativamente la ventana de oportunidad antes de que aparezcan exploits funcionales en foros y repositorios de código.
FUENTE ORIGINAL
Zero Day Initiative↗CURADO POR
Ricardo Burgos