Microsoft lanzó actualizaciones de seguridad para una serie de vulnerabilidades de día cero en Windows y Office que los atacantes están explotando activamente. La empresa describió los exploits como ataques con un solo clic que pueden instalar malware u otorgar acceso no autorizado con una mínima interacción del usuario.
Dos de las fallas pueden desencadenarse cuando un usuario hace clic en un enlace malicioso en una computadora con Windows, mientras que una tercera puede comprometer un sistema cuando se abre un archivo de Office malicioso. Microsoft clasificó los errores como de día cero porque se estaban utilizando antes de que los parches estuvieran disponibles.
Se han publicado detalles de los métodos de explotación, lo que aumenta el riesgo de nuevos ataques. Microsoft no reveló la fuente de los detalles publicados, y un portavoz no hizo comentarios de inmediato a TechCrunch cuando se le preguntó sobre la publicación.
A los investigadores de seguridad del Threat Intelligence Group de Google se les atribuye el descubrimiento de las vulnerabilidades. Uno de los errores, identificado como CVE‑2026‑21510, reside en el shell de Windows que alimenta la interfaz de usuario del sistema operativo y afecta a todas las versiones compatibles de Windows. Cuando una víctima hace clic en un enlace malicioso, la vulnerabilidad elude el filtro SmartScreen de Microsoft, que normalmente bloquea enlaces y archivos maliciosos.
El experto en seguridad Dustin Childs señaló que el error se puede utilizar para instalar malware de forma remota. “Aquí hay interacción del usuario, ya que el cliente necesita hacer clic en un enlace o en un archivo de acceso directo”, escribió Childs en su blog. “Aún así, un error con un solo clic para obtener la ejecución del código es una rareza”.
Un portavoz de Google confirmó que la vulnerabilidad del shell de Windows está bajo “explotación activa y generalizada” y puede permitir la ejecución silenciosa de malware de alto privilegio, lo que aumenta el riesgo de implementación de ransomware o recopilación de inteligencia.
El segundo día cero de Windows, CVE‑2026‑21513, se encuentra en el motor de navegador MSHTML propiedad de Microsoft, utilizado originalmente por Internet Explorer y conservado por compatibilidad con versiones anteriores. Microsoft dijo que la falla permite a los atacantes eludir los controles de seguridad de Windows para instalar malware.
El reportero de seguridad independiente Brian Krebs informó que Microsoft también corrigió tres errores adicionales de día cero que estaban siendo explotados activamente, aunque los detalles de esas vulnerabilidades no fueron revelados en el anuncio.
La respuesta de Microsoft incluye el lanzamiento de parches para todos los errores de día cero identificados, instando a los usuarios a aplicar las actualizaciones rápidamente para mitigar el riesgo de compromiso.
