CISA advierte sobre seis nuevos 0-Day críticos en Microsoft tras explotación activa

Seis nuevas vulnerabilidades 0-Day en productos Microsoft han sido añadidas al catálogo KEV de CISA tras pruebas de explotación activa. Esta alerta, dirigida a organismos públicos y empresas, pone de relieve el alto riesgo y la urgencia de aplicar parches críticos.

CISA ha actualizado su Known Exploited Vulnerabilities (KEV) Catalog tras detectar explotación activa de seis 0-Day críticos en Microsoft. Estas vulnerabilidades afectan componentes clave como Windows Shell, MSHTML, Office, RDS y RRAS, y han motivado una directiva urgente para todo el sector público estadounidense y una alerta global al sector privado.

Las seis vulnerabilidades incorporadas son: CVE-2026-21510 (bypass de seguridad en Windows Shell con riesgo de RCE), CVE-2026-21513 (fallo en MSHTML usada en campañas de phishing para memory corruption), CVE-2026-21514 (privilege escalation por procesamiento de inputs no confiables en Word), CVE-2026-21519 (type confusion en Desktop Window Manager), CVE-2026-21525 (NULL pointer dereference en RRAS con posibilidad de DoS), y CVE-2026-21533 (privilege escalation en RDS). Microsoft ha publicado parches en el Patch Tuesday de febrero de 2026, pero CISA alerta sobre la explotación activa previa, subrayando el papel de estos 0-Day en campañas avanzadas de ransomware, espionaje o movimiento lateral una vez se logra acceso.

La explotación de estas vulnerabilidades permite desde la ejecución remota de código (RCE) hasta la escalada local a privilegios de SYSTEM, facilitando a atacantes eludir defensas, esparcir malware y generar puertas traseras persistentes. Su criticidad se agrava al ser aprovechadas por grupos Estado-nación y por herramientas automatizadas, lo que amplifica el peligro para infraestructuras públicas, empresas y cadenas de suministro interconectadas. Organizaciones que no apliquen correcciones pueden quedar expuestas a incidentes similares al de Change Healthcare en 2025.

Aplicar de inmediato los parches de Microsoft a través de WSUS o Intune, habilitar actualizaciones automáticas y revisar que todas las estaciones estén protegidas. Refuerce la detección con EDR (por ejemplo, Microsoft Defender), YARA rules emergentes y supervisión especial de RDS, macros de Office y RRAS. Adopte Zero Trust, restrinja el uso de RDS si no es crítico, y mantenga segmentación de red. Implemente análisis de comportamiento, y actualice los procesos de gestión de vulnerabilidades integrando la KEV Catalog de CISA.

La presencia constante de 0-Day en el ecosistema Microsoft refuerza la necesidad de políticas ágiles de parcheo, telemetría avanzada y planes de contención ante incidentes. Ignorar estos riesgos compromete la resiliencia digital de organizaciones de todos los sectores. Consultar la KEV Catalog es clave en la estrategia defensiva.

Más información

• CVE-2026-21510 (Windows Shell security feature bypass)
• CVE-2026-21513 (MSHTML security feature bypass)
• CVE-2026-21514 (Word privilege escalation)
• CVE-2026-21519 (Desktop Window Manager type confusion)
• CVE-2026-21525 (RRAS NULL pointer dereference)
• CVE-2026-21533 (Windows Remote Desktop Services elevation)
• CISA: Six Known Exploited Vulnerabilities Added to Catalog
• Microsoft Patch Tuesday – February 2026
• CISA Expands KEV Catalog

La entrada CISA advierte sobre seis nuevos 0-Day críticos en Microsoft tras explotación activa se publicó primero en Una Al Día.

---

☞ El artículo completo original de Hispasec lo puedes ver aquí