El 10 de febrer de 2026 Microsoft va publicar el seu Patch Tuesday mensual, corregint 58 vulnerabilitats repartides per les seves diferents plataformes. L’actualització destaca per contenir sis zero-days explotats activament, tres dels quals divulgats públicament abans de l’arribada del pegat, a més de cinc errors classificats com a crítics. Per a una infraestructura empresarial o un equip domèstic amb Windows, es tracta d’una de les tandes més rellevants de l’any per la pressió d’explotació real.
Què s’ha corregit
El desglossament per categories de les 58 vulnerabilitats és el següent:
- 25 errors d’elevació de privilegis
- 12 d’execució remota de codi (RCE)
- 7 de suplantació (spoofing)
- 6 de divulgació d’informació
- 5 de bypass de funcions de seguretat
- 3 de denegació de servei
Dels cinc errors crítics, tres són d’elevació de privilegis i dos de divulgació d’informació.
Els sis zero-days explotats
El més urgent d’aquesta tanda són els sis zero-days que ja s’estaven aprofitant en atacs reals:
- CVE-2026-21510 (Windows Shell): bypass de funció de seguretat que esquiva SmartScreen i Mark-of-the-Web. Un sol clic en un accés directe manipulat executa contingut de l’atacant sense avisos.
- CVE-2026-21513 (framework MSHTML): error de bypass que permet esquivar una protecció per xarxa. S’ha associat a activitat del grup APT28 mitjançant fitxers HTML o accessos directes
.lnkmaliciosos. - CVE-2026-21514 (Microsoft Word/Office): evita les mitigacions OLE dissenyades per protegir davant de controls COM/OLE vulnerables; requereix obrir un document manipulat.
- CVE-2026-21519 (Desktop Window Manager): elevació de privilegis a SYSTEM en un host ja compromès.
- CVE-2026-21525 (Remote Access Connection Manager): denegació de servei per desreferència de punter nul.
- CVE-2026-21533 (Remote Desktop Services): escalada de privilegis que permet afegir usuaris al grup d’Administradors i arribar a SYSTEM.
Diversos d’aquests identificadors figuren al catàleg KEV (Known Exploited Vulnerabilities) de CISA, cosa que obliga les agències federals nord-americanes a aplicar el pegat en terminis concrets i serveix de senyal de prioritat per a qualsevol organització.
A qui afecta i gravetat
L’exposició abasta pràcticament tot l’ecosistema Windows: escriptoris, Windows Server, Office/Microsoft 365 i components d’escriptori remot. Com que els zero-days se centren en bypass de proteccions (SmartScreen, Mark-of-the-Web, mitigacions OLE) i en escalada de privilegis, encaixen en cadenes d’atac típiques: l’atacant aconsegueix accés inicial mitjançant un fitxer o enllaç maliciós i després escala fins a SYSTEM. Això els fa especialment perillosos en entorns amb usuaris que obren correu i adjunts cada dia.
Mitigació
La recomanació és clara: aplicar les actualitzacions de Windows de febrer de 2026 com més aviat millor, prioritzant els sistemes exposats a Internet i els que executen Remote Desktop Services. Convé verificar que Windows Update s’ha completat i reiniciar els equips. Mentrestant, mantenir actius SmartScreen i les mitigacions d’Office, i desconfiar d’accessos directes i documents d’origen no fiable, redueix la superfície d’atac.
Microsoft també va començar a desplegar certificats de Secure Boot actualitzats per reemplaçar els emesos el 2011, que caduquen a finals de juny de 2026. El desplegament és per fases en funció de les senyals d’actualització correcta; convé no posposar-lo per evitar problemes d’arrencada segura més endavant.
Font
- BleepingComputer: Microsoft February 2026 Patch Tuesday fixes 6 zero-days, 58 flaws