Microsoft ha publicado su actualización de seguridad correspondiente al Patch Tuesday de mayo de 2026, corrigiendo un elevado número de vulnerabilidades que afectan a múltiples productos de su ecosistema, incluyendo Windows, Windows Server, Microsoft Office, SharePoint, Azure, Dynamics 365, DNS Client, Netlogon, Remote Desktop, Win32k y otros componentes del sistema.
Según distintas fuentes de análisis, el paquete de mayo corrige más de 120 vulnerabilidades, con un número elevado de fallos críticos. Entre ellas se incluyen múltiples vulnerabilidades de ejecución remota de código, elevación de privilegios, divulgación de información, denegación de servicio y bypass de medidas de seguridad.
Microsoft no ha informado de vulnerabilidades zero-day explotadas activamente ni divulgadas públicamente en el momento de la publicación de estas actualizaciones. No obstante, varias de las vulnerabilidades corregidas presentan alto potencial de explotación, por lo que se recomienda aplicar los parches con prioridad.
Análisis
La actualización de mayo de 2026 corrige vulnerabilidades que afectan a distintos productos y componentes de Microsoft. Una parte importante de los fallos críticos está relacionada con vulnerabilidades de ejecución remota de código, lo que podría permitir a un atacante ejecutar código en sistemas vulnerables mediante archivos especialmente diseñados, respuestas maliciosas, servicios de red o componentes expuestos.
Entre las vulnerabilidades destacadas se encuentran fallos que afectan a componentes como Windows WiFi Driver, Azure Cassandra, Windows GDI, Microsoft Office, Word, SharePoint, Netlogon y Windows DNS Client.
Algunas de las vulnerabilidades más relevantes son:
CVE-2026-32161 – Windows WiFi Driver
Vulnerabilidad que afecta al controlador WiFi de Windows y que podría permitir ejecución remota de código mediante una condición de carrera.
CVE-2026-33109 y CVE-2026-33844 – Azure Cassandra
Vulnerabilidades relacionadas con fallos de control de acceso y validación de entradas en Azure Cassandra, que podrían permitir acciones no autorizadas o comprometer la seguridad del servicio afectado.
CVE-2026-35421 – Windows GDI
Vulnerabilidad que podría ser explotada mediante un archivo gráfico especialmente diseñado. Un atacante podría aprovecharla si consigue que la víctima abra o procese un archivo malicioso.
Vulnerabilidades en Microsoft Office y Word
Microsoft también ha corregido múltiples fallos en Office y Word, incluyendo errores de tipo use-after-free y buffer overflow. Este tipo de vulnerabilidades suelen requerir que el usuario abra o previsualice un documento especialmente diseñado.
CVE-2026-40365 – Microsoft SharePoint
Vulnerabilidad que podría permitir ejecución remota de código con permisos de usuario autenticado en entornos Microsoft SharePoint.
CVE-2026-41089 – Netlogon
Vulnerabilidad que afecta al servicio Netlogon y que podría permitir ejecución remota de código en controladores de dominio, por lo que resulta especialmente relevante en entornos Active Directory.
CVE-2026-41096 – Windows DNS Client
Vulnerabilidad que podría permitir ejecución remota de código mediante una respuesta DNS maliciosa.
Además de las vulnerabilidades críticas, Microsoft ha corregido múltiples fallos clasificados como importantes, algunos de ellos con mayor probabilidad de explotación. Entre estos destacan vulnerabilidades de elevación de privilegios en componentes clave del sistema, como Kernel de Windows, TCP/IP, Win32k, Remote Desktop y distintos controladores del sistema.
En conjunto, las vulnerabilidades corregidas pueden permitir:
- Ejecución remota de código;
- Elevación de privilegios;
- Divulgación de información;
- Denegación de servicio;
- Bypass de medidas de seguridad;
- Suplantación;
- Compromiso de estaciones de trabajo y servidores;
- Afectación a servicios corporativos como SharePoint, Azure, Dynamics 365 o Exchange;
- Posible impacto sobre controladores de dominio y servicios críticos de red.
Recursos afectados
Las vulnerabilidades afectan a múltiples productos y componentes del ecosistema Microsoft, principalmente:
Sistemas operativos y componentes base
Microsoft Windows, Windows Server, Kernel de Windows, Win32k, TCP/IP, Windows DNS Client, Netlogon, Windows GDI, controladores del sistema y Windows Defender.
Aplicaciones de usuario y productividad
Microsoft Office, Microsoft Word, Microsoft Edge, Microsoft MSHTML y otros componentes asociados al tratamiento de documentos o contenido web.
Servicios corporativos y plataformas empresariales
Microsoft SharePoint, Microsoft Exchange Server, Microsoft SQL Server, Microsoft Skype for Business, Microsoft Dynamics 365 y productos Azure.
Servicios de acceso remoto y administración
Remote Desktop, componentes de autenticación, servicios de red y tecnologías utilizadas en entornos corporativos Windows.
Recomendaciones
Se recomienda aplicar las actualizaciones de seguridad de Microsoft correspondientes al Patch Tuesday de mayo de 2026 lo antes posible, priorizando los sistemas críticos, servidores expuestos, controladores de dominio y equipos con Microsoft Office instalado.
Además, se recomienda revisar y actualizar servicios corporativos afectados, especialmente SharePoint, Exchange Server, SQL Server, Dynamics 365 y productos Azure.
También se recomienda prestar especial atención a componentes críticos como Netlogon, DNS Client, Remote Desktop, Kernel, TCP/IP y Win32k, así como comprobar mediante inventario o herramientas de gestión qué activos internos utilizan productos Microsoft afectados.
Tras la aplicación de los parches, se recomienda validar que las actualizaciones se han instalado correctamente y monitorizar eventos relacionados con autenticación, DNS, Netlogon, SharePoint, Office y Remote Desktop en busca de actividad sospechosa.
Aunque no se ha informado de explotación activa ni de zero-days en esta actualización, el elevado número de vulnerabilidades críticas y la presencia de fallos de ejecución remota de código hacen recomendable tratar esta actualización con prioridad urgente.
Referencias
[1] BleepingComputer – Microsoft May 2026 Patch Tuesday fixes 120 flaws, no zero-days