El Patch Tuesday de julio de 2026 de Microsoft atrajo atención inmediata no solo por su escala récord, sino porque dos zero-days explotados activamente golpearon algunas de las partes más sensibles de la infraestructura empresarial. El CVE-2026-56164 apunta al servidor de SharePoint en las instalaciones y es explotable de forma remota en ataques de baja complejidad, mientras que el CVE-2026-56155 apunta a los Servicios de Federación de Directorio Activo y permite la escalada de privilegios desde un punto de apoyo local de bajos privilegios. Juntos, muestran por qué los defensores no deberían ordenar el riesgo de este mes solo por puntuación.
El error de SharePoint es el problema más urgente orientado a internet. Los informes públicos dicen que no requiere credenciales ni interacción del usuario, lo que lo hace especialmente peligroso para las organizaciones que aún ejecutan SharePoint autohospedado. El fallo de AD FS tiene un alcance más limitado, pero es igual de importante en la práctica porque la infraestructura de federación se encuentra en el centro de la identidad y confianza empresarial. Una vez que los atacantes alcanzan esa capa, el impacto puede extenderse mucho más allá de un solo host.
Análisis de CVE-2026-56164 y CVE-2026-56155
For Análisis de CVE-2026-56164, el punto clave es que tanto Microsoft como los informes externos describen el fallo como ya explotado en ataques reales contra SharePoint en las instalaciones. Es un problema de elevación de privilegios, pero a diferencia de muchos errores de privilegios, es explotable de forma remota y de baja complejidad, lo que lo hace mucho más peligroso operativamente de lo que sugiere la etiqueta por sí sola.
Los detalles actuales para CVE-2026-56164 siguen siendo limitados. Microsoft no ha explicado públicamente la cadena exacta de explotación, el actor responsable o el comportamiento completo después de la transgresión. Lo que está claro es que el fallo afecta al servidor de SharePoint autohospedado y debe tratarse como un evento de parcheo de alta prioridad, especialmente porque las mismas actualizaciones de julio también solucionan problemas adicionales de ejecución remota de código y elusión de seguridad en SharePoint.
El zero-day de AD FS tiene un perfil diferente. CVE-2026-56155 afecta a los Servicios de Federación de Directorio Activo y comienza desde privilegios bajos locales, lo que significa que es más probable que sea útil después de que un atacante ya haya obtenido cierto acceso. Dicho esto, AD FS es exactamente el tipo de infraestructura de identidad que los atacantes quieren una vez que están dentro de una red, porque se encuentra en la ruta de autenticación para el resto del entorno.
En el momento de escribir, no hay un PoC público para CVE-2026-56164, y no hay IOCs detalladas públicamente para CVE-2026-56155 en los informes citados. Eso significa que los defensores deberían centrarse menos en la detección basada en firmas y más en la reducción de la exposición, el despliegue de parches y la revisión posterior al compromiso de los sistemas más propensos a ser abusados.
Mitigación de CVE-2026-56164 y CVE-2026-56155
La respuesta recomendada por Microsoft es directa: parchear ambos fallos inmediatamente. Para SharePoint, habilitar AMSI en Modo Completo puede ayudar a mitigar los ataques, pero el parcheo sigue siendo la prioridad porque las actualizaciones de julio también cierran debilidades adicionales de SharePoint que los atacantes pueden encadenar. Eso hace que la detección de CVE-2026-56164 se trate menos de esperar transmisiones adecuadas y más de confirmar qué servidores están expuestos, orientados a internet, y aún sin parchear.
Para AD FS, la corrección se incluye en las actualizaciones de Windows y Windows Server, y Microsoft también ha comenzado a reforzar la lista de control de acceso en el contenedor del Administrador de Claves Distribuidas de AD FS. En la práctica, la mitigación de CVE-2026-56155 debe tratarse tanto como un ejercicio de parcheo como de refuerzo del nivel de identidad.
Para detectar CVE-2026-56155, los equipos de seguridad deberían priorizar los servidores de federación, validar que se hayan aplicado las actualizaciones relevantes y revisar los cambios sospechosos de privilegios locales o el abuso de la infraestructura de identidad. La misma lógica se aplica a SharePoint: inventariar todos los servidores en las instalaciones, parchear rápidamente y revisar si alguna instancia alcanzable externamente ha mostrado señales de acceso inusual o abuso posterior a la autenticación desde la ventana de explotación observada más temprana.
COMPROBAR DETECCIONES DISPONIBLES
Descargo de responsabilidad: El contenido de detección puede no estar disponible para cada CVE. Consulte la Plataforma de SOC Prime para la cobertura actual. Si no encuentra detecciones relevantes ahora, por favor vuelva a verificar más tarde.
FAQ
¿Qué son CVE-2026-56164 y CVE-2026-56155 y cómo funcionan?
CVE-2026-56164 es un fallo de elevación de privilegios explotado activamente en el servidor de Microsoft SharePoint en las instalaciones que es explotable de forma remota en ataques de baja complejidad. CVE-2026-56155 es un fallo de elevación de privilegios explotado activamente en los Servicios de Federación de Directorio Activo que comienza desde privilegios bajos locales y puede ayudar a los atacantes a pivotar más profundamente en la infraestructura de identidad.
¿Cuándo se descubrieron por primera vez CVE-2026-56164 y CVE-2026-56155?
Los informes públicos no revelan una fecha de descubrimiento privada para ninguno de los problemas. Lo que se sabe es que Microsoft publicó públicamente correcciones en julio de 2026 y acreditó a los respondedores de incidentes por ambas, lo que sugiere fuertemente un descubrimiento durante la investigación de un ataque en el mundo real.
¿Cuál es el impacto de CVE-2026-56155 en los sistemas?
El impacto más grave de CVE-2026-56155 es la escalada de privilegios en un host de AD FS, lo cual puede importar mucho más de lo que implica el requisito de acceso local porque AD FS firma y media la confianza en la identidad a través del entorno. En las manos equivocadas, el compromiso de ese rol puede apoyar un movimiento lateral más amplio y abuso consecutivo.
¿Pueden CVE-2026-56164 y CVE-2026-56155 seguir afectándome en 2026?
Sí. Las organizaciones aún pueden estar expuestas en 2026 si no han aplicado las actualizaciones de Microsoft de julio de 2026, especialmente si ejecutan SharePoint en las instalaciones orientado a internet o mantienen servidores AD FS que ya son accesibles a atacantes a través de un punto de apoyo existente.
¿Cómo puedo protegerme de CVE-2026-56164 y CVE-2026-56155?
Parchee inmediatamente, habilite AMSI en Modo Completo en SharePoint como un control adicional, despliegue las actualizaciones combinadas de Windows y Windows Server para AD FS, y revise sus sistemas de colaboración e identidad más sensibles en busca de señales de abuso posterior al compromiso. En este caso, la velocidad importa más que esperar una divulgación pública de explotación más completa.