Microsoft publicó su Patch Tuesday de marzo de 2026 el día 10 con correcciones para 79 vulnerabilidades. Tenable contabiliza 83 CVE si se suman los avisos de productos adyacentes como Edge o los componentes de Azure. El reparto por tipo deja claro dónde está el grueso del trabajo este mes: 46 fallos de elevación de privilegios, 18 de ejecución remota de código, 10 de divulgación de información, 4 de denegación de servicio, 4 de suplantación (spoofing) y 2 de omisión de funciones de seguridad.
Los dos zero-days
Ambos zero-days se divulgaron públicamente antes de que hubiera parche, pero ninguno constaba como explotado de forma activa en el momento de la actualización.
El primero es CVE-2026-21262, una elevación de privilegios en SQL Server. Se origina en un control de acceso indebido que permite a un atacante autenticado escalar por red hasta privilegios de SQLAdmin (sysadmin) sobre la base de datos. Erland Sommarskog lo sacó a la luz a partir de su artículo “Packaging Permissions in Stored Procedures”. Tiene un CVSS de 8.8.
El segundo es CVE-2026-26127, una denegación de servicio en .NET. Una lectura fuera de límites permite a un atacante no autenticado tumbar el servicio por red. El CVSS es 7.5 y Microsoft lo etiqueta como de baja probabilidad de explotación, pero afecta a .NET 9.0 y 10.0 en Windows, macOS y Linux, así que conviene actualizar el runtime allí donde corra, no solo en Windows.
Lo crítico: Office y Excel
Entre los fallos marcados como críticos, los más preocupantes para un puesto de trabajo normal son dos RCE en Microsoft Office, CVE-2026-26110 y CVE-2026-26113 (CVSS 8.4 cada uno). Son explotables a través del panel de vista previa, lo que significa que el código puede ejecutarse sin que el usuario llegue a abrir el archivo. Basta con que el documento malicioso quede seleccionado en el explorador o en el cliente de correo. Microsoft los clasifica como “explotación menos probable”, pero el vector de vista previa los hace prioritarios.
También entra en la lista CVE-2026-26144, un fallo de divulgación de información en Excel basado en un XSS que puede encadenarse con el Copilot Agent para exfiltrar datos sin interacción del usuario. Es un ejemplo temprano de lo que pasa cuando se mezclan agentes de IA con bugs clásicos de aplicaciones ofimáticas: el agente se convierte en el canal de salida de la fuga.
El resto de críticos toca infraestructura de Azure (Azure Compute Gallery, Payment Orchestrator) y componentes como Compress::Raw::Zlib en Azure Linux/Mariner, menos relevantes para un equipo de sobremesa pero importantes si gestionas cargas en la nube de Microsoft.
Qué hacer
Si administras Windows, aplica el ciclo completo cuanto antes y da prioridad a los equipos con Office y a cualquier servidor SQL expuesto. Para las máquinas con .NET, recuerda que el parche no llega solo por Windows Update: actualiza el runtime en macOS y Linux por separado. Verifica además que Excel y el resto de la suite Office estén en la última build, ya que el vector de vista previa no depende de que el usuario abra nada.