Vulnerabilidad Día Cero en Microsoft
Microsoft y la Agencia de Ciber Defensa de Estados Unidos de América publicó un anuncio urgente para instar a las organizaciones estadounidenses a que actualicen los sistemas Windows que se encuentren vulnerables en su infraestructura debido a una vulnerabilidad día cero que se encuentra bajo explotación activa. Se piensa que la vulnerabilidad, previamente anunciada por Microsoft el 14 de abril de 2026, surgió a partir de una corrección mal implementada para una vulnerabilidad anterior.
CVE-2026-32202
Esta vulnerabilidad cuenta con una calificación CVSS3.1 de 4.3, de criticidad media, pero de gran importancia debido a que ya se encuentra bajo explotación activa. La falla que provoca la vulnerabilidad se encuentra en Windows Shell, y puede permitir a un atacante hacer spoofing a través de la red, empleando un archivo que el atacante tendría que enviar a una víctima y conseguir que lo ejecute. La corrección anterior logró corregir una parte del problema (ejecución de código remoto), sin embargo, aún permitía la autenticación NTLM desde la máquina de la víctima en un servidor malicioso a través del mecanismo Universal Naming Convention (UNC), utilizando una conexión SMB. Esto significa que el hash Net-NTLMv2 de la víctima es enviado al servidor malicioso y puede ser posteriormente utilizado para ataques.
La vulnerabilidad fue rápidamente explotada y empleada en ataques de phishing en diversas partes de Ucrania y otros países de la Unión Europea por parte del grupo ruso clasificado como APT28. Este grupo estuvo explotando la vulnerabilidad corregida (que llevó a la generación de esta vulnerabilidad), en una campaña de phishing desde inicios de 2026, con una cadena de explotación de múltiples vulnerabilidades, lo que explicaría cómo fue que encontraron y pudieron agregar la explotación de la CVE-2026-32202 rápidamente a su arsenal.
Versiones Afectadas
| Producto | Versiones afectadas | Versiones corregidas |
| Windows 10 Version 1607 | 10.0.14393.0 | 10.0.14393.9060 |
| Windows 10 Version 1809 | 10.0.17763.0 | 10.0.17763.8644 |
| Windows 10 Version 21H2 | 10.0.19044.0 | 10.0.19044.7184 |
| Windows 10 Version 22H2 | 10.0.19045.0 | 10.0.19045.7184 |
| Windows 11 version 22H3 | 10.0.22631.0 | 10.0.22631.6936 |
| Windows 11 Version 23H2 | 10.0.22631.0 | 10.0.22631.6936 |
| Windows 11 Version 24H2 | 10.0.26100.0 | 10.0.26100.8246 |
| Windows 11 Version 25H2 | 10.0.26200.0 | 10.0.26200.8246 |
| Windows 11 Version 26H1 | 10.0.28000.0 | 10.0.28000.1836 |
| Windows Server 2012 | 6.2.9200.0 | 6.2.9200.26026 |
| Windows Server 2012 (Server Core installation) | 6.2.9200.0 | 6.2.9200.26026 |
| Windows Server 2012 R2 | 6.3.9600.0 | 6.3.9600.23132 |
| Windows Server 2012 R2 (Server Core installation) | 6.3.9600.0 | 6.3.9600.23132 |
| Windows Server 2016 | 10.0.14393.0 | 10.0.14393.9060 |
| Windows Server 2016 (Server Core installation) | 10.0.14393.0 | 10.0.14393.9060 |
| Windows Server 2019 | 10.0.17763.0 | 10.0.17763.8644 |
| Windows Server 2019 (Server Core installation) | 10.0.17763.0 | 10.0.17763.8644 |
| Windows Server 2022 | 10.0.20348.0 | 10.0.20348.5020 |
| Windows Server 2022, 23H2 Edition (Server Core installation) | 10.0.25398.0 | 10.0.25398.2274 |
| Windows Server 2025 | 10.0.26100.0 | 10.0.26100.32690 |
| Windows Server 2025 (Server Core installation) | 10.0.26100.0 | 10.0.26100.32690 |
Recomendaciones
- Actualizar inmediatamente los productos afectados.
- Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque
- Auditar herramientas de acceso remoto (NIST CSF, 2024).
- Revisar logs para de ejecución de software de acceso remoto (NIST CSF, 2024).
- Limitar estrictamente el uso de los protocolos SMB y RDP.
- Realizar auditorías de seguridad (NIST CSF, 2024).
- Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque (NIST CSF, 2024).
- Tener filtros de correo electrónico y spam.
- Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
- Realizar copias de seguridad, respaldos o back-ups constantemente.
- Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
- Revisar continuamente los privilegios de los usuarios.
- Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
- Habilitar la autenticación multifactorial.
Referencias
- Gatlan, S. (2026, abril 29). CISA orders feds to patch Windows flaw exploited as zero-day. BleepingComputer. Recuperado el 30 de abril de 2026, en: https://www.bleepingcomputer.com/news/security/cisa-orders-feds-to-patch-windows-flaw-exploited-in-zero-day-attacks/
- Lakshmanan, R. (2026, abril 28). Microsoft Confirms Active Exploitation of Windows Shell CVE-2026-32202. The Hacker News. Recuperado el 30 de abril de 2026, en: https://thehackernews.com/2026/04/microsoft-confirms-active-exploitation.html
- Lyons, J. (2026, abril 29). Microsoft patch fell short. New Windows flaw exploited. The Register. Recuperado el 30 de abril de 2026, en: https://www.theregister.com/2026/04/29/microsoft_zero_click_exploit/
