Autor: Concienciacion CSIRT-CV

Microsoft ha publicado su actualización de seguridad correspondiente al Patch Tuesday de mayo de 2026, corrigiendo un elevado número de vulnerabilidades que afectan a múltiples productos de su ecosistema, incluyendo Windows, Windows Server, Microsoft Office, SharePoint, Azure, Dynamics 365, DNS Client, Netlogon, Remote Desktop, Win32k y otros componentes del sistema.

Según distintas fuentes de análisis, el paquete de mayo corrige más de 120 vulnerabilidades, con un número elevado de fallos críticos. Entre ellas se incluyen múltiples vulnerabilidades de ejecución remota de código, elevación de privilegios, divulgación de información, denegación de servicio y bypass de medidas de seguridad.

Microsoft no ha informado de vulnerabilidades zero-day explotadas activamente ni divulgadas públicamente en el momento de la publicación de estas actualizaciones. No obstante, varias de las vulnerabilidades corregidas presentan alto potencial de explotación, por lo que se recomienda aplicar los parches con prioridad.

Análisis

La actualización de mayo de 2026 corrige vulnerabilidades que afectan a distintos productos y componentes de Microsoft. Una parte importante de los fallos críticos está relacionada con vulnerabilidades de ejecución remota de código, lo que podría permitir a un atacante ejecutar código en sistemas vulnerables mediante archivos especialmente diseñados, respuestas maliciosas, servicios de red o componentes expuestos.

Entre las vulnerabilidades destacadas se encuentran fallos que afectan a componentes como Windows WiFi Driver, Azure Cassandra, Windows GDI, Microsoft Office, Word, SharePoint, Netlogon y Windows DNS Client.

Algunas de las vulnerabilidades más relevantes son:

CVE-2026-32161 – Windows WiFi Driver

Vulnerabilidad que afecta al controlador WiFi de Windows y que podría permitir ejecución remota de código mediante una condición de carrera.

CVE-2026-33109 y CVE-2026-33844 – Azure Cassandra

Vulnerabilidades relacionadas con fallos de control de acceso y validación de entradas en Azure Cassandra, que podrían permitir acciones no autorizadas o comprometer la seguridad del servicio afectado.

CVE-2026-35421 – Windows GDI

Vulnerabilidad que podría ser explotada mediante un archivo gráfico especialmente diseñado. Un atacante podría aprovecharla si consigue que la víctima abra o procese un archivo malicioso.

Vulnerabilidades en Microsoft Office y Word

Microsoft también ha corregido múltiples fallos en Office y Word, incluyendo errores de tipo use-after-free y buffer overflow. Este tipo de vulnerabilidades suelen requerir que el usuario abra o previsualice un documento especialmente diseñado.

CVE-2026-40365 – Microsoft SharePoint

Vulnerabilidad que podría permitir ejecución remota de código con permisos de usuario autenticado en entornos Microsoft SharePoint.

CVE-2026-41089 – Netlogon

Vulnerabilidad que afecta al servicio Netlogon y que podría permitir ejecución remota de código en controladores de dominio, por lo que resulta especialmente relevante en entornos Active Directory.

CVE-2026-41096 – Windows DNS Client

Vulnerabilidad que podría permitir ejecución remota de código mediante una respuesta DNS maliciosa.

Además de las vulnerabilidades críticas, Microsoft ha corregido múltiples fallos clasificados como importantes, algunos de ellos con mayor probabilidad de explotación. Entre estos destacan vulnerabilidades de elevación de privilegios en componentes clave del sistema, como Kernel de Windows, TCP/IP, Win32k, Remote Desktop y distintos controladores del sistema.

En conjunto, las vulnerabilidades corregidas pueden permitir:

• Ejecución remota de código;
• Elevación de privilegios;
• Divulgación de información;
• Denegación de servicio;
• Bypass de medidas de seguridad;
• Suplantación;
• Compromiso de estaciones de trabajo y servidores;
• Afectación a servicios corporativos como SharePoint, Azure, Dynamics 365 o Exchange;
• Posible impacto sobre controladores de dominio y servicios críticos de red.

Recursos afectados

Las vulnerabilidades afectan a múltiples productos y componentes del ecosistema Microsoft, principalmente:

Sistemas operativos y componentes base

Microsoft Windows, Windows Server, Kernel de Windows, Win32k, TCP/IP, Windows DNS Client, Netlogon, Windows GDI, controladores del sistema y Windows Defender.

Aplicaciones de usuario y productividad

Microsoft Office, Microsoft Word, Microsoft Edge, Microsoft MSHTML y otros componentes asociados al tratamiento de documentos o contenido web.

Servicios corporativos y plataformas empresariales

Microsoft SharePoint, Microsoft Exchange Server, Microsoft SQL Server, Microsoft Skype for Business, Microsoft Dynamics 365 y productos Azure.

Servicios de acceso remoto y administración

Remote Desktop, componentes de autenticación, servicios de red y tecnologías utilizadas en entornos corporativos Windows.

Recomendaciones

Se recomienda aplicar las actualizaciones de seguridad de Microsoft correspondientes al Patch Tuesday de mayo de 2026 lo antes posible, priorizando los sistemas críticos, servidores expuestos, controladores de dominio y equipos con Microsoft Office instalado.

Además, se recomienda revisar y actualizar servicios corporativos afectados, especialmente SharePoint, Exchange Server, SQL Server, Dynamics 365 y productos Azure.

También se recomienda prestar especial atención a componentes críticos como Netlogon, DNS Client, Remote Desktop, Kernel, TCP/IP y Win32k, así como comprobar mediante inventario o herramientas de gestión qué activos internos utilizan productos Microsoft afectados.

Tras la aplicación de los parches, se recomienda validar que las actualizaciones se han instalado correctamente y monitorizar eventos relacionados con autenticación, DNS, Netlogon, SharePoint, Office y Remote Desktop en busca de actividad sospechosa.

Aunque no se ha informado de explotación activa ni de zero-days en esta actualización, el elevado número de vulnerabilidades críticas y la presencia de fallos de ejecución remota de código hacen recomendable tratar esta actualización con prioridad urgente.

Referencias

[1] BleepingComputer – Microsoft May 2026 Patch Tuesday fixes 120 flaws, no zero-days

[2] Cisco Talos – Microsoft Patch Tuesday for May 2026

[3] SecurityWeek – Microsoft patches vulnerabilities

Actualmente se encuentra activa una campaña fraudulenta que suplanta la identidad de LIDL mediante tiendas online falsas. El aviso, identificado como INCIBE-2026-329, fue publicado el 6 de mayo de 2026 y tiene una importancia alta.

La campaña se está difundiendo principalmente a través de anuncios promocionados en buscadores y enlaces compartidos mediante aplicaciones de mensajería instantánea, como WhatsApp. Estos anuncios y mensajes redirigen a páginas web fraudulentas que simulan ser tiendas oficiales de LIDL con el objetivo de robar datos personales, obtener información bancaria y recibir pagos por compras falsas. 

Análisis

Los ciberdelincuentes han iniciado una campaña de suplantación de la tienda oficial de LIDL mediante múltiples páginas web fraudulentas. Estas páginas imitan la apariencia de una tienda legítima y ofrecen productos a precios excesivamente bajos en comparación con su valor real, con el objetivo de atraer a las víctimas.

Los enlaces fraudulentos pueden llegar a los usuarios de dos formas principales:

• Anuncios patrocinados en buscadores, que aparecen en la zona de productos promocionados;
• Mensajes difundidos a través de aplicaciones de mensajería instantánea, especialmente WhatsApp.

Al acceder a estas páginas, el usuario puede encontrar productos con grandes descuentos, mensajes de urgencia o avisos de stock limitado. Este tipo de técnicas buscan presionar a la víctima para que realice la compra rápidamente sin comprobar si la página es legítima.

Una de las principales señales de alerta es la dirección web a la que redirige el anuncio o enlace. Las empresas legítimas suelen utilizar dominios oficiales, como lidl.es. Si la URL no contiene el nombre exacto de la marca, utiliza dominios extraños o no se corresponde con la tienda oficial, puede tratarse de una página fraudulenta.

Además, en algunos anuncios el nombre de la tienda que aparece no coincide con LIDL, aunque se utilicen imágenes, productos o elementos visuales que puedan inducir a error.

Durante el proceso de compra, estas páginas solicitan datos personales para el supuesto envío y datos bancarios para realizar el pago. Una vez introducida esta información, los ciberdelincuentes pueden realizar cargos fraudulentos y disponer de los datos facilitados por la víctima.

Recomendaciones

• Desconfiar de páginas con dominios extraños o que no coincidan exactamente con la marca;
• Desconfiar de ofertas excesivamente atractivas o precios muy por debajo del mercado;
• Acceder siempre a la tienda escribiendo manualmente la dirección oficial en el navegador;
• Evitar comprar desde enlaces recibidos por WhatsApp, redes sociales o anuncios no verificados;
   

• Contactar inmediatamente con la entidad bancaria para informar del posible fraude;
• Solicitar el bloqueo o revisión de la tarjeta utilizada;
• Guardar todas las evidencias disponibles;
• Presentar denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado;
• Cambiar las credenciales utilizadas si se han facilitado o reutilizado en otros servicios;

Referencias

[1] INCIBE – Suplantan al LIDL a través de tiendas online fraudulentas
https://www.incibe.es/ciudadania/avisos/suplantan-al-lidl-traves-de-tiendas-online-fraudulentas

Hoy hemos emitido un nuevo boletín mensual con muchos consejos sobre ciberseguridad.

Todos los suscriptores del boletín mensual del CSIRT-CV han recibido el último ejemplar en sus correos.

Si quieres ser de los primeros en recibir nuestra publicación, puedes suscribirte aquí o, si prefieres leerlo en nuestra página accede a este  enlace.