Microsoft alerta sobre vulnerabilidades críticas que atacan a Windows y Office

Microsoft emitió una advertencia sobre la explotación activa de vulnerabilidades críticas en sus sistemas operativos Windows y en las aplicaciones de Office. Estas fallas permiten a los atacantes tomar el control total de las computadoras de los usuarios al hacer clic en un enlace malicioso o abrir un archivo infectado.

Los exploits son conocidos como ataques de un clic, lo que significa que un hacker puede plantar malware o acceder a la computadora de la víctima con mínima interacción del usuario. Al menos dos de las vulnerabilidades pueden ser aprovechadas engañando a alguien para que haga clic en un enlace malicioso en su computadora con Windows. Otra permite comprometer el sistema al abrir un archivo de Office malicioso.

Estas vulnerabilidades se conocen como zero-days, ya que los hackers las han estado utilizando antes de que Microsoft tuviera la oportunidad de solucionarlas.

La empresa indicó que se han publicado detalles sobre cómo explotar estos errores, lo que podría aumentar el riesgo de ataques. No se especificó dónde se publicaron estos detalles, y un portavoz de Microsoft no comentó de inmediato al ser contactado por TechCrunch. En sus informes de errores, Microsoft reconoció la contribución de investigadores de seguridad del Google Threat Intelligence Group en el descubrimiento de estas vulnerabilidades.

Uno de los errores, oficialmente rastreado como CVE-2026-21510, fue encontrado en la interfaz de usuario del sistema operativo Windows. Este error afecta todas las versiones de Windows que están en soporte. Al hacer clic en un enlace malicioso, este error permite a los hackers eludir la función SmartScreen de Microsoft, que normalmente detecta enlaces y archivos maliciosos.

Según el experto en seguridad Dustin Childs, este error puede ser utilizado para plantar malware de forma remota en la computadora de la víctima.

"Aquí hay interacción del usuario, ya que el cliente necesita hacer clic en un enlace o un archivo de acceso directo", escribió Childs en su blog. "Aún así, un error de un clic para obtener ejecución de código es una rareza".

Un portavoz de Google confirmó que el error en el shell de Windows está bajo "explotación activa y generalizada", y dijo que los ataques exitosos permitían la ejecución silenciosa de malware con altos privilegios, "lo que representa un alto riesgo de compromiso del sistema posterior, despliegue de ransomware o recolección de inteligencia".

Otro error de Windows, rastreado como CVE-2026-21513, fue encontrado en el motor de navegador propietario de Microsoft, MSHTML, que alimenta su navegador Internet Explorer, que ha sido descontinuado. Aún se encuentra en versiones más nuevas de Windows para asegurar la compatibilidad con aplicaciones más antiguas.

Microsoft indicó que este error permite a los hackers eludir las características de seguridad en Windows para plantar malware.

De acuerdo con el periodista de seguridad independiente Brian Krebs, Microsoft también corrigió tres otros errores de cero días en su software que estaban siendo explotados activamente por hackers.

Temas