Introducción
Si tenés un entorno con SharePoint Server, Active Directory Federation Services (AD FS) o cuentas de servicio con Kerberos RC4, este es el momento de actuar. Microsoft liberó 622 CVEs en julio 2026, el récord histórico, con dos zero-days bajo ataque activo: CVE-2026-56164 (SharePoint) y CVE-2026-56155 (AD FS). Ambos permiten escalar privilegios sin autenticación previa (SharePoint) o con autenticación local (AD FS), y ya están siendo explotados en entornos reales.
Además, Microsoft desactiva el switch RC4DefaultDisablementPhase en julio, lo que significa que cualquier cuenta de servicio que aún use RC4 para autenticación con Kerberos fallará tras aplicar el parche. Si no auditás y rotás contraseñas antes, prepárate para recibir una alerta a las 2am.
Este tutorial te guía paso a paso para:
- Priorizar y parchear los dos zero-days explotados.
- Auditor e identificar cuentas de servicio con Kerberos RC4.
- Rotar contraseñas y validar que los servicios sigan funcionando.
- Verificar que los parches se apliquen correctamente.
Qué es y para qué sirve
Los zero-days bajo ataque activo
| CVE | Componente | Impacto | Explotación | Prioridad |
|---|---|---|---|---|
| **CVE-2026-56164** | SharePoint Server | Escalada de privilegios sin autenticación | Activa | ⭐⭐⭐⭐⭐ |
| **CVE-2026-56155** | AD FS | Escalada de privilegios con autenticación local | Activa | ⭐⭐⭐⭐⭐ |
| CVE-2026-50661 | BitLocker | Bypass de protección con acceso físico | No activa | ⭐⭐ |
- CVE-2026-56164 (SharePoint): Permite a un atacante sin credenciales escalar privilegios en SharePoint Server a través de la red. Microsoft no reveló cómo se explota, pero credita a Mandiant y Google FLARE, lo que sugiere un exploit en uso real.
- CVE-2026-56155 (AD FS): Permite a un atacante ya autenticado escalar privilegios localmente en AD FS, afectando la generación de tokens para toda la infraestructura. Microsoft no detalló qué privilegios otorga, pero AD FS es crítico para la autenticación SSO en entornos híbridos.
- CVE-2026-50661 (BitLocker): Requiere acceso físico al dispositivo, por lo que no es una emergencia remota, pero debe parchearse.
Cambio en Kerberos RC4: el «error que no te hackea pero te rompe el día»
Microsoft lleva años endureciendo Kerberos RC4 (un cifrado débil). En enero 2026 introdujo el parámetro RC4DefaultDisablementPhase como un «botón de pánico» para revertir el endurecimiento. En julio 2026, este botón desaparece. Si alguna cuenta de servicio aún usa RC4:
- Fallará la autenticación Kerberos tras aplicar el parche.
- No hay ESU (Extended Security Update) para SharePoint 2016/2019, que llegan a fin de soporte hoy. Si tu SharePoint es versión antigua, migra o aplica parches con urgencia.
Prerequisitos
| Elemento | Versión/Configuración | Notas |
|---|---|---|
| **Windows Server** | 2016, 2019, 2022, 2025 | Necesario para parchear y auditar. |
| **SharePoint Server** | 2016, 2019, Subscription Edition | Si usás 2016/2019, tené en cuenta el fin de soporte. |
| **AD FS** | 2016, 2019, 2022 | Comprobar versión con BLOCK16 . |
| **PowerShell** | 5.1+ (Windows) o 7+ (Linux/macOS) | Necesario para scripts de auditoría. |
| **Azure AD Connect** | 2.2.x+ | Si usás sincronización híbrida. |
| **Permisos** | **Local Admin** en servidores afectados | Para instalar parches y ejecutar scripts. |
| **Backups** | Completo de servidores SharePoint/AD FS | **Obligatorio** antes de parchear. |
| **Red** | Acceso a Windows Update o WSUS | Si usás WSUS, verifica sincronización previa. |
- Microsoft Defender for Endpoint (para detectar exploits post-parcheo).
- Event Viewer (para revisar logs de autenticación Kerberos).
- Azure Sentinel (si tenés integración con Microsoft Cloud).
Guía paso a paso
Paso 1: Priorizar los CVEs explotados
Orden de urgencia:- CVE-2026-56164 (SharePoint) → CVE-2026-56155 (AD FS) → CVE-2026-50661 (BitLocker) → RC4 Kerberos.
# En un servidor con SharePoint
Get-SPSite | ForEach-Object {
Write-Host "Site: $($_.URL) - Version: $($_.WebApplication.Version)" -ForegroundColor Cyan
}Resultado esperado:Una lista de sitios de SharePoint y sus versiones. Si ves 16.0.4XXXXX (SharePoint 2016) o 16.0.1XXXXX (SharePoint 2019), aplicá el parche inmediatamente.
Paso 2: Parchear CVE-2026-56164 (SharePoint)
Acciones previas:- Hacé un backup completo del servidor SharePoint (incluyendo bases de datos y
C:\Program Files\Common Files\Microsoft Shared\Web Server Extensions\). - Programá una ventana de mantenimiento (SharePoint requiere reinicio de servicios).
# 1. Descargar el parche desde Microsoft Update Catalog
# URL: https://www.catalog.update.microsoft.com/Search.aspx?q=CVE-2026-56164
# Buscar el KB correspondiente a tu versión de SharePoint (ej: KB500XXXX para SharePoint 2019).
# 2. Instalar el parche (ejemplo para SharePoint 2019)
msiexec /i "c:\descargas\KB500XXXX-x64.msi" /qn /norestart
# 3. Verificar que el parche se instaló
Get-HotFix | Where-Object { $_.HotFixID -like "*500*" } | Select-Object HotFixID, InstalledOn
# 4. Reiniciar servicios de SharePoint
Restart-Service -Name "SPTimerV4", "SPSearchHostController", "IISAdmin"Verificación post-parcheo:# Comprobar que SharePoint esté corriendo
Get-Service | Where-Object { $_.DisplayName -like "*SharePoint*" } | Format-Table Name, Status, StartType -AutoSize
# Probar acceso a un sitio
Invoke-WebRequest -Uri "http://tusitio.sharepoint.local" -UseBasicParsing | Select-Object StatusCode, ContentLengthResultado esperado:- Todos los servicios de SharePoint en
Running. - El sitio web responde con código
200 OK.
Paso 3: Parchear CVE-2026-56155 (AD FS)
Acciones previas:- Verificá que AD FS esté instalado en el servidor:
Get-WindowsFeature ADFS-Federation | Select-Object InstallStateSi el resultado es Installed, continuá.
- Desconectá los nodos de AD FS del balanceador de carga (si usás un cluster).
# 1. Descargar el parche para AD FS (ejemplo KB500YYYY)
# URL: https://www.catalog.update.microsoft.com/Search.aspx?q=CVE-2026-56155
# 2. Instalar el parche
msiexec /i "c:\descargas\KB500YYYY-x64.msi" /qn /norestart
# 3. Reiniciar servicios de AD FS
Restart-Service -Name "adfssrv"Verificación post-parcheo:# Comprobar que AD FS esté funcionando
Get-Service -Name "adfssrv" | Select-Object Name, Status
# Probar autenticación con un token
$cred = Get-Credential
$token = Get-AdfsToken -ResourceName "https://tuaplicacion.local" -Credential $cred
Write-Host "Token generado: $($token.AccessTokenType) - Expira en: $($token.ExpiresOn)"Resultado esperado:- El servicio
adfssrvenRunning. - Generación exitosa de un token de autenticación.
Paso 4: Auditoría y mitigación de Kerberos RC4
¡Advertencia! Si omitís este paso, tus cuentas de servicio fallarán tras aplicar el parche de julio.4.1. Habilitar auditoría de Kerberos RC4 (si no lo hiciste en enero)
# Activar auditoría de eventos de Kerberos RC4
auditpol /set /subcategory:"Kerberos Authentication Service" /success:enable /failure:enable
# Reiniciar el servicio de Directorio Activo (opcional, pero recomendado)
Restart-Service -Name "NTDS"4.2. Identificar cuentas con RC4 habilitado
# Script para auditar cuentas con RC4 (ejecutar en un DC)
$rc4Accounts = Get-ADUser -Filter * -Properties msDS-SupportedEncryptionTypes | Where-Object {
($_.msDS-SupportedEncryptionTypes -band 0x4) -or ($_.msDS-SupportedEncryptionTypes -band 0x20)
}
$rc4Accounts | Select-Object Name, SamAccountName, msDS-SupportedEncryptionTypes | Format-Table -AutoSize
# Formato de msDS-SupportedEncryptionTypes:
# 1 (DES-CBC-CRC) -> Inseguro
# 2 (DES-CBC-MD5) -> Inseguro
# 4 (RC4-HMAC) -> RC4
# 8 (AES128-CTS-HMAC-SHA1-96) -> AES128
# 16 (AES256-CTS-HMAC-SHA1-96) -> AES256
# 32 (AES128-CTS-HMAC-SHA256-128) -> AES128 (SHA2)
# 64 (AES256-CTS-HMAC-SHA384-192) -> AES256 (SHA2)Resultado esperado:Una lista de cuentas con RC4 habilitado (columnas Name y msDS-SupportedEncryptionTypes con valor 4 o combinaciones que incluyan 4).
4.3. Rotar contraseñas de cuentas con RC4
Orden recomendado:- Cuentas de servicios críticos (SQL, IIS, SharePoint).
- Cuentas genéricas (ej:
svc-sharepoint). - Cuentas de usuarios (si usan RC4 por legado).
# Rotar contraseña de una cuenta específica (ej: svc-sharepoint)
Set-ADAccountPassword -Identity "svc-sharepoint" -NewPassword (ConvertTo-SecureString "NuevaContraseñaSegura123!" -AsPlainText -Force) -Reset
# Verificar que la cuenta ahora use AES
Get-ADUser -Identity "svc-sharepoint" -Properties msDS-SupportedEncryptionTypes | Select-Object Name, msDS-SupportedEncryptionTypesResultado esperado:La cuenta debe mostrar msDS-SupportedEncryptionTypes con valores que no incluyan 4 (RC4), idealmente 24 (AES128 + AES256) o 120 (AES128 + AES256 + SHA2).
Paso 5: Aplicar parches generales y validar
# 1. Actualizar todos los servidores afectados (SharePoint, AD FS, DCs)
Install-Package -Name "Windows Server 2022" -ProviderName "PSWindowsUpdate" -AcceptAll -IgnoreReboot
# Opción manual:
# wuauclt /detectnow /updatenow
# 2. Revisar logs de Windows Update
Get-WinEvent -FilterHashtable @{LogName='System'; ID=24; StartTime=(Get-Date).AddHours(-1)} | Select-Object TimeCreated, Message
# 3. Validar que ningún servicio crítico esté roto
Test-NetConnection -ComputerName "tuservidor.local" -Port 443Verificaciones post-parcheo:| Componente | Comando de validación | Resultado esperado |
|---|---|---|
| **SharePoint** |
