En su primer Patch Tuesday de 2026, el 13 de enero, Microsoft hizo algo que no se ve todos los días: en vez de parchear un driver vulnerable, lo borró de Windows directamente. Hablamos del driver de terceros Agere Soft Modem, afectado por la vulnerabilidad CVE-2023-31096, una escalada de privilegios local que llevaba años viajando dentro de versiones soportadas del sistema operativo.
Qué es la vulnerabilidad
CVE-2023-31096 es una vulnerabilidad de elevación de privilegios (Elevation of Privilege) en el driver de modo kernel del soft-modem Agere/LSI/Broadcom, presente en el binario AGRSM64.sys hasta la versión 2.2.100.1. El fallo nace en un manejador IOCTL que hace un uso inseguro de memoria: un desbordamiento de pila por una copia tipo RTLCopyMemory que no valida lo que debería.
Como el driver vive en el kernel, un atacante que ya pueda ejecutar código con privilegios de usuario estándar (integridad media) tiene aquí una palanca para escalar hasta SYSTEM, el máximo privilegio en Windows. Con eso, un acceso limitado pasa a ser control total de la máquina: instalar software, tocar servicios de seguridad o dejar persistencia.
A quién afecta
El driver venía dentro de imágenes soportadas de Windows, así que el componente vulnerable podía estar ahí incluso en equipos que hace tiempo que no tocan un módem analógico. En la práctica, el riesgo apunta a sistemas Windows con los drivers Agere instalados y, de forma más evidente, a equipos que aún dependen de módems analógicos, módems de fax o adaptadores soft-modem con chipsets Agere/LSI/Broadcom.
Gravedad
Se clasifica con severidad alta. Hay dos motivos para esa nota: el fallo ya había sido explotado para conseguir privilegios administrativos y circulaban pruebas de concepto públicas para esta familia de drivers. La explotación necesita acceso local previo, cierto, pero una escalada a SYSTEM es de las piezas que más se repiten en una cadena de ataque después de la primera intrusión.
Mitigación y parche
Microsoft optó por retirar el driver vulnerable de Windows en el Patch Tuesday de enero de 2026, en vez de remendar un código de terceros abandonado que difícilmente aguantaría el parche. Según la documentación del fabricante, la actualización acumulativa eliminó los binarios agrsm64.sys y agrsm.sys, junto con componentes serie relacionados como smserl64.sys y smserial.sys.
Quitar el driver borra la superficie de ataque al instante, pero deja una factura clara: los dispositivos que dependían de estos drivers dejarán de funcionar. Lo razonable es:
- Aplicar la actualización de enero de 2026 en equipos que no dependan de estos módems.
- Inventariar qué sistemas usan de verdad los drivers Agere.
- Sustituir el hardware heredado por alternativas modernas o conseguir drivers firmados por el proveedor si los hay.
- Aislar en redes segmentadas, de forma temporal, los equipos que todavía necesiten el hardware afectado.
El caso resume bien algo cada vez más común: cuando el código de un tercero está abandonado y se puede explotar de forma demostrable, sale más a cuenta quitarlo que sostener un parche sobre cimientos que no se tienen en pie. Esa misma idea de reducir superficie de ataque y privilegios es la que mueve a las herramientas de control de acceso obligatorio en Linux como SELinux y AppArmor.
Si llevas equipos Windows, échale un ojo también al resto del Patch Tuesday de enero de 2026, que corrigió 114 fallos, tres de ellos zero-days. Y para situar el sistema afectado, tienes la ficha de Windows Desktop.