惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

F
Fortinet All Blogs
宝玉的分享
宝玉的分享
酷 壳 – CoolShell
酷 壳 – CoolShell
T
The Exploit Database - CXSecurity.com
Help Net Security
Help Net Security
腾讯CDC
Project Zero
Project Zero
C
CXSECURITY Database RSS Feed - CXSecurity.com
IT之家
IT之家
C
Cyber Attacks, Cyber Crime and Cyber Security
T
Tailwind CSS Blog
Threat Intelligence Blog | Flashpoint
Threat Intelligence Blog | Flashpoint
D
Darknet – Hacking Tools, Hacker News & Cyber Security
L
LINUX DO - 最新话题
K
KPMG report finds enterprise disconnect between AI and its ROI | CIO
T
Threatpost
N
News | PayPal Newsroom
C
Cybersecurity and Infrastructure Security Agency CISA
Hacker News - Newest:
Hacker News - Newest: "LLM"
S
SegmentFault 最新的问题
cs.AI updates on arXiv.org
cs.AI updates on arXiv.org
P
Proofpoint News Feed
A
Arctic Wolf
B
Blog RSS Feed
Forbes - Security
Forbes - Security
P
Privacy & Cybersecurity Law Blog
Attack and Defense Labs
Attack and Defense Labs
V2EX - 技术
V2EX - 技术
P
Proofpoint News Feed
I
Intezer
Application and Cybersecurity Blog
Application and Cybersecurity Blog
阮一峰的网络日志
阮一峰的网络日志
aimingoo的专栏
aimingoo的专栏
T
Tenable Blog
MyScale Blog
MyScale Blog
U
Unit 42
Cyber Security Advisories - MS-ISAC
Cyber Security Advisories - MS-ISAC
WordPress大学
WordPress大学
W
WeLiveSecurity
D
DataBreaches.Net
奇客Solidot–传递最新科技情报
奇客Solidot–传递最新科技情报
G
GRAHAM CLULEY
有赞技术团队
有赞技术团队
Martin Fowler
Martin Fowler
罗磊的独立博客
The Last Watchdog
The Last Watchdog
让小产品的独立变现更简单 - ezindie.com
让小产品的独立变现更简单 - ezindie.com
V
Vulnerabilities – Threatpost
美团技术团队
Microsoft Security Blog
Microsoft Security Blog

DEV Community

Authentication Security Deep Dive: From Brute Force to Salted Hashing (With Java Examples) Why AI Systems Don’t Fail — They Drift Spilling beans for how i learn for exam😁"Reinforcement Learning Cheat Sheet" I Replaced Chrome with Safari for AI Browser Automation. Here's What Broke (and What Finally Worked) How Python Borrows Other People's Work Top 15 Reinforcement Learning Questions That Will Appear in Exams The $40 Architecture: Processing 1 Billion API Requests with 99.99% Uptime Vibe Coding: A Workflow Guide (From Zero to SaaS) Most webhook security guides protect the wrong side. The scary part is delivery. Headless CMS for TanStack Start: Build a Blog with Cosmic EU Age Verification App "Hacked in 2 Minutes" — What Actually Happened Comfy Cloud’s delete function does not actually remove files Running AI Models on GPU Cloud Servers: A Beginner Guide Event-driven media intelligence with AWS Step Functions and Bedrock I scored 500 AI prompts across 8 quality dimensions — here's what broke How to Call Google Gemini API from Next.js (Free Tier, No Backend Needed) The Portal Protocol: Reclaiming Human Connection in the Age of AI How to Fix Your Team's Scattered Knowledge Problem With a Self-Hosted Forum Intro to tc Cloud Functors: A Graph-First Mental Model for the Modern Cloud Designing Multi-Tenant Backends With Both Ownership and Team Access I Built a Neumorphic CSS Library with 77+ Components — Here's What I Learned PostgreSQL Performance Optimization: Why Connection Pooling Is Critical at Scale Cómo construí un SaaS multi-rubro para gestionar expensas en Argentina con FastAPI + Vue 3 🚀 I Built an Ethical Hacking Scanner Tool – Open Source Project I Replaced /usage and /context in Claude Code With a Single Statusline A Pythonic Way to Handle Emails (IMAP/SMTP) with Auto-Discovery and AI-Ready Design I Collected 8.9 Million Polymarket Price Points — Here's What I Found About How Markets Really Move EcoTrack AI — Carbon Footprint Tracker & Dashboard Everyone's Using AI. No One Agrees How. 5 self-hosted ebook managers worth trying in 2026 Building Your First AI Agent with LangChain: From Chatbot to Autonomous Assistant Common SOC 2 Failures (Real World) Stop Vibe-Checking Your AI App: A Practical Guide to Evals How to Use SonarQube and SonarScanner Locally to Level Up Your Code Quality Your Next To-Do App Is Dead — I Replaced Mine with an OpenClaw AI Sign a Nostr event in 60 lines of Python using coincurve — no nostr-sdk, no nbxplorer, no rust toolchain ITGC Audit Explained Like You’re in Big 4 Stop scraping everything: a better way to track competitor price changes Listing on MCPize + the Official MCP Registry while routing payments OUTSIDE the marketplace — how I kept 100% of my x402 revenue Building an AI-Powered Risk Intelligence System Using Serverless Architecture Why We Ripped Function Overloading Out of Our AI Toolchain Testing AI-Generated Code: How to Actually Know If It Works SaaS Churn Is Killing Your Business. Here Is What to Do About It (Without a Support Team) The Speed of AI Is No Longer Linear - And Self-Improving Models Are Why How to Implement RBAC for MCP Tools: A Practical Guide for Engineering Teams From Standard Quote to Persuasive Proposal: AI Automation for Arborists I built a CLI that scaffolds complete multi-tenant SaaS apps Axios CVE-2025–62718: The Silent SSRF Bug That Could Be Hiding in Your Node.js App Right Now The dashboard that ended our friendship Data Pipelines Explained Simply (and How to Build Them with Python) The Hidden Cost of AI Systems Nobody Talks About. undefined vs undeclared, and how typeof behaves Switching from file-based jobs to NATS/Kafka in Rust without changing code io_uring Adventures: Rust Servers That Love Syscalls Why Agentic AI is Killing the Traditional Database The POUR principles of web accessibility for developers and designers Quantum Neural Network 3D — A Deep Dive into Interactive WebGL Visualization How To Install Caveman In Codex On macOS And Windows Automation Pipeline Reliability: Why Your Workflow Breaks When Nobody Is Watching I Built an 'Open World' AI Coding Agent — It Works From ANY Folder From Freelancing to Product: A Tech Service Company's SaaS Transformation China's AI Giants: Adding Tencent Hunyuan & ByteDance Doubao to AI University (74 Providers) On the Vibe Coders and Their Lies clerk: Auto-Summarize Your Claude Code Sessions AI Weekly — 2026/04/10–04/17 | The Model Lockdown Is Here, but the Toolchain Is the Real Battleground AI 週報 — 2026/04/10–2026/04/17 模型封鎖潮來了,但工具鏈才是真戰場 Maybe this is how Open-Source apps are born... 🚀 Fine-Tune LLMs with LoRA and QLoRA: 2026 Guide tRPC v11 + Next.js App Router: End-to-End Type Safety Without the Boilerplate ShadCN UI in 2026: Why I Stopped Installing Component Libraries and Started Owning My Components SaaS Billing in React Server Components: Stripe + Supabase Without a Single `useEffect` Join our DEV Weekend Challenge — $1,000 in Prizes Across TEN winners! Submissions Due April 20 at 6:59 AM UTC. Implementing FSRS Spaced Repetition in Flutter + Supabase — Adding Memory Science to an AI Learning App "I Texted My Localhost From the Train — Claude Code Fixed the Bug Before I Got Home" I Built a Sales Prep AI and It Went Deeper Than Expected Design to Code #2: One JSON, Eleven Outputs Solving the 100M-Row Problem: A Summary Table Pattern for High-Volume Push Notification Logs Flutter Web With Wasm: What Actually Changes For Developers I Built 50 Royalty-Free Soundtracks for My Side Project in a Weekend Using AI Music Generation The Vibe Coding Security Checklist: 7 Things to Check Before You Ship Stop Letting Googlebot Guess Fix Your React App's SEO Right Desconstruindo o Streaming do LinkedIn: Como Criar um Engine de Extração de Vídeo de Alta Performance com HLS e FFmpeg (EDA Part-1) EDA (Exploratory Data Analysis) Explained With Real Life — Why Looking at Your Data Is the Most Important Step in Machine Learning Brand Relationship Management at Scale: Our 4-Touch Outreach System for 200+ Brands Why String.fromEnvironment() Might Return an Empty String in Dart JGuardrails 1.0.0 — Hardening Java LLM Apps Against Jailbreaks, Toxicity, and Prompt Injection Plan and Schedule a Full Week of Threads Content From One Claude Conversation Coding Cat Oran Ep3, Five Tables Changed Everything Updated: BFF Pattern I'm done watching freelancers get buried by 200 proposals. So I'm building the alternative. This is my first post BFS Algorithm in Java Step by Step Tutorial with Examples Tracking LLM Pricing Monthly: An Open Dataset for 22 AI Models How We Measure Content ROI on a Comparison Site: Revenue Attribution Without Perfect Data Introducing Nova AI Ops: The AI-Native Operating System for SRE Teams I built a free desktop video downloader for Windows — Grabbit How Talkie OCR Helps Vision-Impaired & Dyslexic Users Read the World Around Them VRCFaceTracking安装和iPhone面捕配置教程,有bug Even CrowdStrike Can't See Your Agents The Automation Gold Rush: What n8n Workflows and Claude Are Opening Up for Developers Right Now
Patch Tuesday abril 2026: Microsoft parcha 163 vulnerabilidades y un zero-day en SharePoint
lu1tr0n · 2026-04-18 · via DEV Community

El Patch Tuesday abril 2026 entró en la historia por el volumen y por la gravedad. El 8 de abril de 2026 Microsoft liberó correcciones para 163 vulnerabilidades propias (entre 167 y 169 si se suman parches de Chromium en Edge, Mariner y componentes de terceros, según el agregador que se consulte), convirtiéndose en el segundo ciclo mensual más grande jamás publicado por la compañía, superado únicamente por octubre de 2025 (183 CVEs).

La urgencia, sin embargo, no viene del conteo sino del contenido. Dos zero-days, uno de ellos explotado en el mundo real contra servidores SharePoint y otro con prueba de concepto pública en Microsoft Defender, conviven con un remote code execution pre-autenticado y potencialmente wormable en el servicio IKE de Windows. Para cualquier organización con infraestructura Microsoft expuesta, este Patch Tuesday abril 2026 no es rutina: es prioridad número uno de la semana.

Qué pasó el 8 de abril de 2026

Como cada segundo martes del mes, Microsoft publicó su ronda de actualizaciones de seguridad a través del Microsoft Security Response Center (MSRC). Lo inusual fue la magnitud: 163 CVEs de productos propios, distribuidos en 8 Critical, 154 Important y 1 Moderate. Comparado con marzo de 2026, que cerró con 83 CVEs, el incremento es de +96% mes a mes, prácticamente el doble.

Investigadores de Zero Day Initiative (ZDI), Tenable y Qualys atribuyen el volumen récord a tres factores que se están reforzando mutuamente en 2026: primero, el uso intensivo de fuzzing asistido por IA por parte de equipos rojos internos y externos, que está descubriendo bugs de memoria y de lógica a un ritmo inédito; segundo, las sumisiones al programa ZDI se triplicaron en los últimos doce meses; y tercero, la cercanía de Pwn2Own Berlin suele concentrar revelaciones coordinadas justo antes del evento.

El resultado es un ciclo en el que los defensores tienen que digerir, priorizar y desplegar decenas de parches críticos en cuestión de días, mientras los atacantes ya están activos sobre al menos uno de los bugs corregidos.

Zero-day bajo ataque activo: SharePoint

La estrella negativa del mes es CVE-2026-32201, una vulnerabilidad de spoofing en Microsoft SharePoint Server, probablemente una variante de XSS reflejado o almacenado, con CVSS 6.5. Microsoft confirmó en su aviso oficial del Patch Tuesday abril 2026 que ya existe explotación activa antes del parche.

Los KBs exactos para remediarla son:

  • SharePoint Server 2016 — KB5002861- SharePoint Server 2019 — KB5002854- SharePoint Server Subscription Edition — KB5002853

CISA agregó CVE-2026-32201 a su catálogo Known Exploited Vulnerabilities (KEV) el 14 de abril de 2026, estableciendo un deadline de remediación del 28 de abril de 2026 para agencias federales estadounidenses bajo la directiva BOD 22-01. Aunque esa obligación aplica solo al FCEB, la inclusión en KEV es la señal más clara que existe de que los atacantes están usando activamente el bug y que cualquier organización con SharePoint expuesto está en riesgo inmediato.
El ciclo más pesado desde octubre de 2025: 163 CVEs en una sola tanda.

Zero-day con PoC público: Microsoft Defender

El segundo zero-day del mes es CVE-2026-33825, una vulnerabilidad de Elevation of Privilege en Microsoft Defender con CVSS 7.8. A diferencia del bug de SharePoint, aquí Microsoft no reporta explotación in-the-wild, pero sí existe prueba de concepto pública, lo que históricamente reduce a horas o días la ventana antes de que aparezcan exploits funcionales en foros y campañas de ransomware.

La mitigación requiere actualizar la plataforma antimalware a la versión 4.18.26030.3011 o superior. En la mayoría de los endpoints Windows 10/11 con Defender activo, la actualización se entrega automáticamente vía Microsoft Update y Windows Defender Updates; el riesgo real está en servidores aislados, equipos en mantenimiento prolongado o políticas corporativas que retrasan los builds de motor antimalware.

El RCE más peligroso: Windows IKE Service (wormable)

El bug que más preocupa técnicamente en este Patch Tuesday abril 2026 no es ninguno de los zero-days, sino CVE-2026-33824, un Remote Code Execution pre-autenticado en el servicio IKE (Internet Key Exchange) de Windows, con CVSS 9.8. El servicio IKE maneja la negociación de llaves para IPsec/VPN y escucha típicamente en UDP 500 y UDP 4500.

Las combinaciones pre-auth + CVSS 9.8 + protocolo UDP sin sesión son, históricamente, la receta clásica de un gusano de red estilo EternalBlue o SMBGhost. Microsoft clasifica el bug como potencialmente wormable, lo que significa que un exploit funcional podría propagarse automáticamente entre servidores Windows sin intervención humana.

⚠️ Ojo: Si tu parcheo va a tardar más de 48 horas, aplica la mitigación temporal: bloquear UDP 500 y UDP 4500 en el firewall perimetral para cualquier host que no sea explícitamente un concentrador VPN IPsec. Es una medida de contención, no un reemplazo del parche.

Breakdown por tipo y producto

Los análisis independientes de Qualys, Tenable, Rapid7 y BleepingComputer coinciden en una distribución histórica por categoría que vale la pena leer con atención:

  • Elevation of Privilege (EoP): 93 CVEs (57.1%) — récord histórico absoluto- Remote Code Execution (RCE): 20 CVEs- Information Disclosure: 20-21 CVEs- Security Feature Bypass: 12-13 CVEs- Denial of Service: 8-10 CVEs- Spoofing: 8-9 CVEs- Tampering: 1 CVE

Que el 57% sean Elevation of Privilege no es casual: refleja que los atacantes modernos entran por otras vías (phishing, credenciales robadas, RCE de terceros) y luego necesitan escalar. Un parche de EoP no impresiona en un titular, pero es exactamente lo que corta la cadena de impacto en la mayoría de intrusiones reales.

El breakdown por producto muestra la amplitud del ciclo:

  • Windows 10, Windows 11 y Windows Server — núcleo, componentes, servicios de red- SharePoint Server — incluyendo el zero-day activo- Exchange Server- Microsoft Office y Microsoft 365 Apps- Azure — múltiples servicios gestionados- SQL Server- Visual Studio y .NET- Microsoft Edge (Chromium)- Hyper-V Priorización sugerida: SharePoint primero, IKE segundo, Defender tercero. ## Cómo parchar y en qué orden

La estrategia de despliegue difiere entre endpoints y servidores, pero el orden de priorización para esta semana es claro.

Endpoints individuales

Usuarios de Windows 10/11 deben ir a Configuración → Windows Update → Buscar actualizaciones e instalar la tanda acumulativa de abril. Reiniciar es obligatorio para que los parches del kernel y de Defender tomen efecto completo.

Entornos empresariales

En organizaciones con WSUS, Microsoft Intune o SCCM/MECM, el enfoque recomendado sigue siendo por anillos de despliegue: anillo 1 (IT y early adopters) en 24-48h, anillo 2 (producción no crítica) en 3-5 días, anillo 3 (producción crítica) en 5-10 días. Este ciclo, sin embargo, obliga a comprimir los anillos para los tres fallos prioritarios.

SharePoint

Los servidores SharePoint requieren un procedimiento específico que no se puede saltar: backup completo de la granja, aplicar el KB correspondiente, y ejecutar PSConfig post-patch para actualizar la base de configuración. Saltarse PSConfig deja la granja en estado inconsistente y es una causa habitual de incidentes post-parche.

# SharePoint: ejecutar tras aplicar KB5002853/KB5002854/KB5002861
# Desde SharePoint Management Shell como administrador de granja
PSConfig.exe -cmd upgrade -inplace b2b -wait -cmd applicationcontent -install -cmd installfeatures -cmd secureresources

Enter fullscreen mode Exit fullscreen mode

Priorización práctica para esta semana

Si solo tenés 72 horas antes del próximo corte de cambio, este es el orden:

  • SharePoint ServerCVE-2026-32201 ya está siendo explotado y CISA puso deadline del 28 de abril. Si tu granja está expuesta a internet, considera que el compromiso es posible mientras no apliques el KB.- Windows IKE ServiceCVE-2026-33824, CVSS 9.8, pre-auth, wormable. Parchea o bloquea UDP 500/4500.- Microsoft Defender EoPCVE-2026-33825, PoC público, actualizar a 4.18.26030.3011.

💡 Tip: Si tu inventario no sabe qué hosts hablan IKE, un escaneo rápido con nmap -sU -p 500,4500 sobre tus rangos internos y DMZ te da una lista accionable en minutos. Cualquier cosa que no sea explícitamente un concentrador VPN debería tener esos puertos bloqueados.

Por qué este Patch Tuesday le importa a LATAM

La base instalada de Microsoft en América Latina es enorme y concentrada en sectores críticos: bancos y fintech con Windows Server para core bancario, comercios medianos y grandes con SharePoint para intranet y gestión documental, gobiernos y e-commerce sobre Exchange para correo corporativo, y prácticamente todo CI/CD que toca ecosistema .NET corre sobre build agents Windows.

A eso se suma la capa de compliance: operadoras de tarjetas y procesadores quedan bajo PCI-DSS, subsidiarias de multinacionales estadounidenses quedan bajo SOX, y más de un marco regulatorio local (SBS en Perú, SSF en El Salvador, CNBV en México, SBIF/CMF en Chile) considera la aplicación oportuna de parches de seguridad como un control básico. Una brecha a través de CVE-2026-32201 en una granja SharePoint de un banco no es solo un incidente técnico: es un hallazgo de auditoría regulatoria.

La tendencia 2026: más volumen, más IA

El incremento del +96% mes a mes respecto a marzo de 2026 no es una anomalía. Comparado con el promedio mensual de 2025, el ciclo de abril está aproximadamente 50% por encima. Los números apuntan a una nueva normalidad en la que la superficie de descubrimiento se amplió estructuralmente.

El motor principal es el fuzzing asistido por IA. Herramientas internas de Microsoft (OneFuzz y sucesores) y de investigadores externos ya no solo generan entradas aleatorias: usan modelos para razonar sobre estructuras de protocolo y para priorizar rutas de ejecución poco exploradas. Zero Day Initiative reporta que sus sumisiones totales se triplicaron en el último año, y una fracción significativa de esas sumisiones viene acompañada de PoCs generados o asistidos por IA.

Para los equipos de seguridad, la implicación es operativa: el modelo clásico de "parchear en 30 días" empieza a quedar corto cuando cada mes trae ciclos de 150+ CVEs con al menos un zero-day activo. La disciplina de inventario, segmentación, detección basada en comportamiento y parcheo automático por anillos deja de ser un lujo y se convierte en la única forma de no quedar atrás.

Qué sigue

En el corto plazo, la semana del 14 al 21 de abril será el verdadero termómetro: veremos si aparecen exploits funcionales públicos para el IKE RCE, si el zero-day de SharePoint se masifica más allá de los ataques dirigidos actuales, y si alguien publica un exploit combinado con CVE-2026-33825 para cadenas de EoP + persistencia.

En el mediano plazo, Pwn2Own Berlin y la próxima edición del Black Hat van a determinar si este ciclo récord fue un pico aislado o el nuevo piso de los Patch Tuesdays. La apuesta conservadora, dada la trayectoria del fuzzing con IA, es que ciclos de 150+ CVEs serán la norma en 2026.

📖 Resumen en Telegram: Ver resumen

Preguntas frecuentes

¿Cuántas vulnerabilidades corrige el Patch Tuesday abril 2026?

163 CVEs de productos propios de Microsoft (8 Critical, 154 Important, 1 Moderate). Algunos agregadores reportan entre 167 y 169 si se incluyen parches de Chromium en Edge, componentes de Mariner y otros bundles.

¿Cuál es el fallo más urgente para aplicar?

CVE-2026-32201 en SharePoint Server, porque ya está bajo explotación activa y CISA lo incluyó en el catálogo KEV con deadline del 28 de abril de 2026 para agencias federales estadounidenses.

¿Qué es un RCE wormable y por qué importa el bug de IKE?

Un RCE wormable permite ejecución remota de código sin autenticación previa y puede propagarse entre máquinas automáticamente. CVE-2026-33824 tiene CVSS 9.8 y afecta al servicio IKE de Windows, que suele escuchar en UDP 500 y 4500. La mitigación temporal es bloquear esos puertos en el firewall.

¿Cómo parcho SharePoint correctamente?

Backup completo de la granja, aplicar el KB correspondiente (KB5002861 para 2016, KB5002854 para 2019, KB5002853 para Subscription Edition), y ejecutar PSConfig post-patch. Saltarse PSConfig deja la granja inconsistente.

¿Por qué este ciclo es tan grande?

Tres factores convergentes: adopción masiva de fuzzing asistido por IA, triplicación de sumisiones al programa ZDI en el último año, y revelaciones coordinadas alrededor de Pwn2Own Berlin.

¿Qué debería revisar un sysadmin en LATAM esta semana?

Inventario de servidores SharePoint expuestos, inventario de hosts que escuchan UDP 500/4500, versión de plataforma Defender en endpoints críticos, y ventana de despliegue acelerada para los tres fallos prioritarios del mes.

Referencias

📱 ¿Te gusta este contenido? Únete a nuestro canal de Telegram @programacion donde publicamos a diario lo más relevante de tecnología, IA y desarrollo. Resúmenes rápidos, contenido fresco todos los días.