En el Patch Tuesday de enero de 2026, Microsoft corrigió CVE-2026-20854, una vulnerabilidad de ejecución remota de código (RCE) clasificada como crítica en el servicio Local Security Authority Subsystem Service (LSASS) de Windows. Es uno de los seis fallos RCE críticos que la compañía resolvió en su primera actualización mensual del año, dentro de un lote que abordó más de un centenar de vulnerabilidades.
Qué es la vulnerabilidad
Según la National Vulnerability Database (NVD), se trata de un use-after-free (CWE-416): una porción de memoria que ya ha sido liberada vuelve a utilizarse, lo que puede provocar corrupción de memoria y, en el peor caso, la ejecución de código arbitrario. El fallo reside en LSASS, el proceso de Windows responsable de aplicar las políticas de seguridad del sistema, validar inicios de sesión y gestionar la autenticación y los tokens de acceso. Comprometer este componente es especialmente sensible, porque LSASS maneja credenciales y es un objetivo histórico de los atacantes para el robo de hashes y secretos.
El vector CVSS 3.1 asignado es AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H, con una puntuación base de 7.5 (alta). En la práctica, esto significa que el ataque se realiza a través de la red (AV:N), no requiere interacción de la víctima (UI:N) y necesita que el atacante disponga de privilegios bajos en el sistema (PR:L). La alta complejidad de ataque (AC:H) implica que se deben dar ciertas condiciones para explotarlo de forma fiable, lo que reduce algo la probabilidad de explotación masiva pero no elimina el riesgo. El impacto es total en confidencialidad, integridad y disponibilidad.
A quién afecta
Las versiones afectadas confirmadas por NVD son:
- Windows 11 versión 24H2 (anteriores a la build 10.0.26100.7623)
- Windows 11 versión 25H2 (anteriores a la build 10.0.26200.7623)
- Windows Server 2025 y su instalación Server Core (anteriores a la build 10.0.26100.32230)
Los entornos de servidor son los más expuestos: un controlador de dominio o un servidor de autenticación comprometido a través de LSASS puede dar a un atacante un punto de apoyo muy valioso para movimientos laterales dentro de una red corporativa.
Gravedad y estado de explotación
Microsoft calificó el fallo como crítico dentro del conjunto de RCE del mes. En el momento de la publicación del parche no se había documentado explotación activa de esta CVE concreta (a diferencia del zero-day CVE-2026-20805 del mismo Patch Tuesday), pero su naturaleza —RCE en un componente de autenticación accesible por red— justifica un parcheo prioritario.
Mitigación y parche
La única solución recomendada es aplicar las actualizaciones acumulativas de enero de 2026 a través de Windows Update o WSUS/SCCM, instalando como mínimo las builds indicadas arriba. No existe mitigación alternativa equivalente al parche para un use-after-free de este tipo. Como buenas prácticas complementarias conviene:
- Restringir el acceso de red a los servidores y limitar las cuentas con privilegios.
- Habilitar protecciones de credenciales como Credential Guard y la protección adicional de LSASS (RunAsPPL / LSA protection), que dificultan el abuso del proceso.
- Segmentar la red para reducir la superficie de exposición de los controladores de dominio.
Para administradores que gestionan flotas mixtas Linux y Windows, este caso recuerda la importancia de aislar y endurecer los servicios de autenticación. Si trabajas con controles de acceso obligatorio en Linux, puede interesarte nuestra guía sobre SELinux y AppArmor.
Si administras Windows Server, revisa la ficha de Windows Server para conocer su ciclo de vida y versiones soportadas.