Introducción

Si tenés un entorno con SharePoint Server, Active Directory Federation Services (AD FS) o cuentas de servicio con Kerberos RC4, este es el momento de actuar. Microsoft liberó 622 CVEs en julio 2026, el récord histórico, con dos zero-days bajo ataque activo: CVE-2026-56164 (SharePoint) y CVE-2026-56155 (AD FS). Ambos permiten escalar privilegios sin autenticación previa (SharePoint) o con autenticación local (AD FS), y ya están siendo explotados en entornos reales.

Además, Microsoft desactiva el switch RC4DefaultDisablementPhase en julio, lo que significa que cualquier cuenta de servicio que aún use RC4 para autenticación con Kerberos fallará tras aplicar el parche. Si no auditás y rotás contraseñas antes, prepárate para recibir una alerta a las 2am.

Este tutorial te guía paso a paso para:

  • Priorizar y parchear los dos zero-days explotados.
  • Auditor e identificar cuentas de servicio con Kerberos RC4.
  • Rotar contraseñas y validar que los servicios sigan funcionando.
  • Verificar que los parches se apliquen correctamente.

Qué es y para qué sirve

Los zero-days bajo ataque activo

CVEComponenteImpactoExplotaciónPrioridad
**CVE-2026-56164**SharePoint ServerEscalada de privilegios sin autenticaciónActiva⭐⭐⭐⭐⭐
**CVE-2026-56155**AD FSEscalada de privilegios con autenticación localActiva⭐⭐⭐⭐⭐
CVE-2026-50661BitLockerBypass de protección con acceso físicoNo activa⭐⭐
Detalles clave:
  • CVE-2026-56164 (SharePoint): Permite a un atacante sin credenciales escalar privilegios en SharePoint Server a través de la red. Microsoft no reveló cómo se explota, pero credita a Mandiant y Google FLARE, lo que sugiere un exploit en uso real.
  • CVE-2026-56155 (AD FS): Permite a un atacante ya autenticado escalar privilegios localmente en AD FS, afectando la generación de tokens para toda la infraestructura. Microsoft no detalló qué privilegios otorga, pero AD FS es crítico para la autenticación SSO en entornos híbridos.
  • CVE-2026-50661 (BitLocker): Requiere acceso físico al dispositivo, por lo que no es una emergencia remota, pero debe parchearse.

Cambio en Kerberos RC4: el «error que no te hackea pero te rompe el día»

Microsoft lleva años endureciendo Kerberos RC4 (un cifrado débil). En enero 2026 introdujo el parámetro RC4DefaultDisablementPhase como un «botón de pánico» para revertir el endurecimiento. En julio 2026, este botón desaparece. Si alguna cuenta de servicio aún usa RC4:

  1. Fallará la autenticación Kerberos tras aplicar el parche.
  2. No hay ESU (Extended Security Update) para SharePoint 2016/2019, que llegan a fin de soporte hoy. Si tu SharePoint es versión antigua, migra o aplica parches con urgencia.

Prerequisitos

ElementoVersión/ConfiguraciónNotas
**Windows Server**2016, 2019, 2022, 2025Necesario para parchear y auditar.
**SharePoint Server**2016, 2019, Subscription EditionSi usás 2016/2019, tené en cuenta el fin de soporte.
**AD FS**2016, 2019, 2022Comprobar versión con BLOCK16.
**PowerShell**5.1+ (Windows) o 7+ (Linux/macOS)Necesario para scripts de auditoría.
**Azure AD Connect**2.2.x+Si usás sincronización híbrida.
**Permisos****Local Admin** en servidores afectadosPara instalar parches y ejecutar scripts.
**Backups**Completo de servidores SharePoint/AD FS**Obligatorio** antes de parchear.
**Red**Acceso a Windows Update o WSUSSi usás WSUS, verifica sincronización previa.
Herramientas adicionales (opcionales pero recomendadas):
  • Microsoft Defender for Endpoint (para detectar exploits post-parcheo).
  • Event Viewer (para revisar logs de autenticación Kerberos).
  • Azure Sentinel (si tenés integración con Microsoft Cloud).

Guía paso a paso

Paso 1: Priorizar los CVEs explotados

Orden de urgencia:
  1. CVE-2026-56164 (SharePoint) → CVE-2026-56155 (AD FS) → CVE-2026-50661 (BitLocker) → RC4 Kerberos.
Comando para verificar si SharePoint está afectado:
# En un servidor con SharePoint
Get-SPSite | ForEach-Object {
    Write-Host "Site: $($_.URL) - Version: $($_.WebApplication.Version)" -ForegroundColor Cyan
}
Resultado esperado:

Una lista de sitios de SharePoint y sus versiones. Si ves 16.0.4XXXXX (SharePoint 2016) o 16.0.1XXXXX (SharePoint 2019), aplicá el parche inmediatamente.

Paso 2: Parchear CVE-2026-56164 (SharePoint)

Acciones previas:
  1. Hacé un backup completo del servidor SharePoint (incluyendo bases de datos y C:\Program Files\Common Files\Microsoft Shared\Web Server Extensions\).
  2. Programá una ventana de mantenimiento (SharePoint requiere reinicio de servicios).
Proceso:
# 1. Descargar el parche desde Microsoft Update Catalog
# URL: https://www.catalog.update.microsoft.com/Search.aspx?q=CVE-2026-56164
# Buscar el KB correspondiente a tu versión de SharePoint (ej: KB500XXXX para SharePoint 2019).

# 2. Instalar el parche (ejemplo para SharePoint 2019)
msiexec /i "c:\descargas\KB500XXXX-x64.msi" /qn /norestart

# 3. Verificar que el parche se instaló
Get-HotFix | Where-Object { $_.HotFixID -like "*500*" } | Select-Object HotFixID, InstalledOn

# 4. Reiniciar servicios de SharePoint
Restart-Service -Name "SPTimerV4", "SPSearchHostController", "IISAdmin"
Verificación post-parcheo:
# Comprobar que SharePoint esté corriendo
Get-Service | Where-Object { $_.DisplayName -like "*SharePoint*" } | Format-Table Name, Status, StartType -AutoSize

# Probar acceso a un sitio
Invoke-WebRequest -Uri "http://tusitio.sharepoint.local" -UseBasicParsing | Select-Object StatusCode, ContentLength
Resultado esperado:
  • Todos los servicios de SharePoint en Running.
  • El sitio web responde con código 200 OK.

Paso 3: Parchear CVE-2026-56155 (AD FS)

Acciones previas:
  1. Verificá que AD FS esté instalado en el servidor:
Get-WindowsFeature ADFS-Federation | Select-Object InstallState

Si el resultado es Installed, continuá.

  1. Desconectá los nodos de AD FS del balanceador de carga (si usás un cluster).
Proceso:
# 1. Descargar el parche para AD FS (ejemplo KB500YYYY)
# URL: https://www.catalog.update.microsoft.com/Search.aspx?q=CVE-2026-56155

# 2. Instalar el parche
msiexec /i "c:\descargas\KB500YYYY-x64.msi" /qn /norestart

# 3. Reiniciar servicios de AD FS
Restart-Service -Name "adfssrv"
Verificación post-parcheo:
# Comprobar que AD FS esté funcionando
Get-Service -Name "adfssrv" | Select-Object Name, Status

# Probar autenticación con un token
$cred = Get-Credential
$token = Get-AdfsToken -ResourceName "https://tuaplicacion.local" -Credential $cred
Write-Host "Token generado: $($token.AccessTokenType) - Expira en: $($token.ExpiresOn)"
Resultado esperado:
  • El servicio adfssrv en Running.
  • Generación exitosa de un token de autenticación.

Paso 4: Auditoría y mitigación de Kerberos RC4

¡Advertencia! Si omitís este paso, tus cuentas de servicio fallarán tras aplicar el parche de julio.

4.1. Habilitar auditoría de Kerberos RC4 (si no lo hiciste en enero)

# Activar auditoría de eventos de Kerberos RC4
auditpol /set /subcategory:"Kerberos Authentication Service" /success:enable /failure:enable

# Reiniciar el servicio de Directorio Activo (opcional, pero recomendado)
Restart-Service -Name "NTDS"

4.2. Identificar cuentas con RC4 habilitado

# Script para auditar cuentas con RC4 (ejecutar en un DC)
$rc4Accounts = Get-ADUser -Filter * -Properties msDS-SupportedEncryptionTypes | Where-Object {
    ($_.msDS-SupportedEncryptionTypes -band 0x4) -or ($_.msDS-SupportedEncryptionTypes -band 0x20)
}

$rc4Accounts | Select-Object Name, SamAccountName, msDS-SupportedEncryptionTypes | Format-Table -AutoSize

# Formato de msDS-SupportedEncryptionTypes:
# 1 (DES-CBC-CRC) -> Inseguro
# 2 (DES-CBC-MD5) -> Inseguro
# 4 (RC4-HMAC) -> RC4
# 8 (AES128-CTS-HMAC-SHA1-96) -> AES128
# 16 (AES256-CTS-HMAC-SHA1-96) -> AES256
# 32 (AES128-CTS-HMAC-SHA256-128) -> AES128 (SHA2)
# 64 (AES256-CTS-HMAC-SHA384-192) -> AES256 (SHA2)
Resultado esperado:

Una lista de cuentas con RC4 habilitado (columnas Name y msDS-SupportedEncryptionTypes con valor 4 o combinaciones que incluyan 4).

4.3. Rotar contraseñas de cuentas con RC4

Orden recomendado:
  1. Cuentas de servicios críticos (SQL, IIS, SharePoint).
  2. Cuentas genéricas (ej: svc-sharepoint).
  3. Cuentas de usuarios (si usan RC4 por legado).
# Rotar contraseña de una cuenta específica (ej: svc-sharepoint)
Set-ADAccountPassword -Identity "svc-sharepoint" -NewPassword (ConvertTo-SecureString "NuevaContraseñaSegura123!" -AsPlainText -Force) -Reset

# Verificar que la cuenta ahora use AES
Get-ADUser -Identity "svc-sharepoint" -Properties msDS-SupportedEncryptionTypes | Select-Object Name, msDS-SupportedEncryptionTypes
Resultado esperado:

La cuenta debe mostrar msDS-SupportedEncryptionTypes con valores que no incluyan 4 (RC4), idealmente 24 (AES128 + AES256) o 120 (AES128 + AES256 + SHA2).

Paso 5: Aplicar parches generales y validar

# 1. Actualizar todos los servidores afectados (SharePoint, AD FS, DCs)
Install-Package -Name "Windows Server 2022" -ProviderName "PSWindowsUpdate" -AcceptAll -IgnoreReboot
# Opción manual:
# wuauclt /detectnow /updatenow

# 2. Revisar logs de Windows Update
Get-WinEvent -FilterHashtable @{LogName='System'; ID=24; StartTime=(Get-Date).AddHours(-1)} | Select-Object TimeCreated, Message

# 3. Validar que ningún servicio crítico esté roto
Test-NetConnection -ComputerName "tuservidor.local" -Port 443
Verificaciones post-parcheo:
ComponenteComando de validaciónResultado esperado
**SharePoint**BLOCK33Sin errores en creación de sitios.
**AD FS**BLOCK34Todos los endpoints en BLOCK35.
**Kerberos**BLOCK36Sin errores en tickets AES.
## Consideraciones y buenas prácticas

1. SharePoint 2016/2019 sin ESU: ¿qué hacer?

  • No hay ESU oficial para SharePoint 2016/2019. Opciones:
Migra a SharePoint Subscription Edition (versión moderna).

Aísla el servidor de la red y monitorea con Defender for Endpoint.

Habilita AMSI en modo completo en el servidor (Microsoft recomienda esto como mitigación para CVE-2026-56164):

    # Habilitar AMSI en modo completo
    Set-MpPreference -DisableLocalMachineScan $false
    Set-MpPreference -MAPSReporting Advanced
    

2. ¿Qué pasa si no roté las contraseñas de RC4 a tiempo?

  • Escenario: Aplicás el parche y los servicios fallan con errores como:
  Event ID 4768: Kerberos pre-authentication failed.
  Event ID 4771: Kerberos pre-authentication failed (encryption type: RC4).
  
  • Solución de emergencia:
  # Deshabilitar temporalmente el endurecimiento de RC4 (solo si es crítico)
  reg add "HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\DomainController" /v "RC4EncryptionType" /t REG_DWORD /d 1 /f
  Restart-Service -Name "NTDS"
  
⚠️ Advertencia: Esto es un parche temporal. Rotá las contraseñas de inmediato y remové el registro tras la mitigación.

3. Priorización alternativa: usá EPSS y KEV

Microsoft marcó los zero-days como «explotados», pero si tenés dudas:

Ejemplo de búsqueda en KEV:
  curl -s "https://www.cisa.gov/sites/default/files/feeds/known_exploited_vulnerabilities.json" | jq '.vulnerabilities[] | select(.cveID == "CVE-2026-56164")'
  

4. Automatización con Azure Policy (para entornos híbridos)

Si usás Azure, podés forzar el parcheo con:

{
  "properties": {
    "displayName": "Force Microsoft patches for July 2026 CVEs",
    "description": "Aplicar parches para CVE-2026-56164, CVE-2026-56155 y RC4 Kerberos",
    "parameters": {
      "excludedResourceTypes": {
        "value": ["Microsoft.Compute/virtualMachines"]
      }
    },
    "policyRule": {
      "if": {
        "allOf": [
          { "field": "type", "equals": "Microsoft.Compute/virtualMachines" },
          { "field": "properties.osProfile.windowsConfiguration.patchSettings.patchMode", "notEquals": "Manual" }
        ]
      },
      "then": {
        "effect": "deployIfNotExists",
        "details": {
          "type": "Microsoft.Compute/virtualMachines/extensions",
          "name": "MicrosoftPatchJuly2026",
          "properties": {
            "publisher": "Microsoft.Compute",
            "type": "CustomScriptExtension",
            "typeHandlerVersion": "1.10",
            "autoUpgradeMinorVersion": true,
            "settings": {
              "fileUris": ["https://tustorage.blob.core.windows.net/scripts/PatchJuly2026.ps1"],
              "commandToExecute": "powershell -ExecutionPolicy Unrestricted -File PatchJuly2026.ps1"
            }
          }
        }
      }
    }
  }
}

Conclusión

Julio 2026 es un mes crítico para los equipos de seguridad e infraestructura:

  1. Parcheá los zero-days CVE-2026-56164 (SharePoint) y CVE-2026-56155 (AD FS) primero, sin importar su puntuación CVSS baja.
  2. Audita y rota contraseñas de cuentas con RC4 antes de aplicar el parche de julio, o tus servicios fallarán a las 2am.
  3. Validá que SharePoint, AD FS y Kerberos funcionen tras el parcheo. Usá los comandos exactos de este tutorial para evitar sorpresas.
  4. Monitoreá con Defender for Endpoint durante 72 horas post-parcheo para detectar intentos de explotación.
Recordá:
  • No esperes a que CISA agregue los CVEs a KEV para priorizarlos. Microsoft ya los marcó como «explotados».
  • SharePoint 2016/2019 sin ESU requiere acción inmediata: migración, aislamiento o mitigación con AMSI.
  • La automatización (Azure Policy, scripts PowerShell) es clave para entornos grandes.

Si seguís estos pasos, reducirás el riesgo de explotación activa y evitarás interrupciones por el cambio de Kerberos RC4.

Fuentes

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *