Se ha divulgado una vulnerabilidad de severidad crítica CVE-2026-45495 que afecta de manera directa al navegador Microsoft Edge (basado en Chromium). El fallo estructural permite a un atacante remoto y no autenticado lograr la Ejecución Remota de Código (RCE) en la máquina de la víctima y, de forma simultánea, realizar un escape completo del entorno aislado de seguridad (Sandbox Bypass), otorgando al exploit la capacidad de comprometer el sistema operativo subyacente con los mismos privilegios del usuario activo.
Veredicto Analítico
- Estado: Confirmado (Mitigación y parches de actualización global desplegados por Microsoft).
- Confianza: Alta (Basado en el boletín oficial de actualización de seguridad de Microsoft Edge y el rastreo en el ecosistema Chromium).
- Riesgo para SOC TDIR: Crítico. Al ser el navegador predeterminado y profundamente integrado en los entornos empresariales con sistemas Windows, un vector de RCE que logre evadir el sandbox representa una amenaza de primer orden, facilitando compromisos de estaciones de trabajo (endpoints) mediante la simple navegación web.
- Urgencia operativa: Inmediata. Es mandatorio validar y forzar el proceso de actualización del navegador en toda la flota de activos de la organización para cerrar la ventana de exposición.
- Base del veredicto: La combinación de una falla de corrupción de memoria de alta severidad con la capacidad demostrada de romper las barreras de aislamiento nativas del navegador.
Hallazgos Clave
- Componente Afectado: El motor de renderizado y la capa de aislamiento de procesos de Microsoft Edge.
- Naturaleza del Fallo: Corrupción de memoria del tipo Use-After-Free (UAF) encadenada con una debilidad en las restricciones de llamadas del sistema operativo (Sandbox Escape).
- Mecanismo de Explotación: El ataque se gatilla a través de técnicas de compromiso por navegación (Drive-by Compromise). El usuario solo requiere visitar un sitio web malicioso o un portal legítimo previamente troyanizado (Malvertising) para detonar la carga útil.
- Impacto Directo: Toma de control local de los hilos de ejecución de la máquina del usuario, permitiendo la descarga silenciosa de malware, robo de cookies de sesión corporativas y persistencia en el host.
Análisis Técnico
- Vector de Ataque y Acceso Inicial: El atacante aloja un script de JavaScript malformado en un servidor web web público. Cuando el navegador Edge de la víctima procesa los elementos visuales y lógicos de la página, el script explota un fallo de reutilización de memoria (Use-After-Free). En un escenario común, esto solo provocaría la caída de la pestaña (tab crash); sin embargo, en este fallo el exploit aprovecha una debilidad en el plano de control del Sandbox para inyectar código directamente en el proceso principal del navegador, logrando interactuar de forma irrestricta con las APIs del sistema Windows.
TTPs (MITRE ATT&CK):
- Acceso Inicial: Infección por navegación web (Drive-by Compromise).
- Ejecución: Explotación para ejecución de código (Exploitation for Code Execution).
- Evasión de Defensas: Elusión del entorno aislado del navegador (Bypass Sandbox).
- Contexto de la Amenaza: Debido a que Edge comparte la base de código de Chromium con Google Chrome, muchas de estas fallas críticas son descubiertas de manera simultánea en el motor base. No obstante, las optimizaciones de rendimiento y las características propietarias que Microsoft añade a Edge suelen reconfigurar la superficie de ataque, requiriendo parches específicos emitidos de forma directa por el equipo de seguridad de Microsoft.
Recomendaciones Operativas
Para Administradores de Sistemas / TI (Acción Inmediata)
- Forzar Actualización por Directivas de Grupo: Configurar e invocar las directivas de grupo (GPO) o las reglas de Microsoft Intune para obligar a Microsoft Edge a descargar e instalar la última versión segura de forma automática en segundo plano, recortando el tiempo de gracia de los usuarios para reiniciar el navegador.
- Auditoría de Versiones Antiguas: Ejecutar consultas de inventario rápidas en las consolas de administración para detectar aquellos dispositivos que por políticas de ahorro de energía o desconexión prolongada de la red retengan compilaciones vulnerables de Edge.
Para el SOC (Monitoreo y Detección)
- Monitoreo de Procesos Hijos de Edge: Configurar reglas en el EDR para emitir alertas de prioridad crítica si el proceso principal de Microsoft Edge (msedge.exe) inicia o spawnea procesos del sistema inusuales (como cmd.exe, powershell.exe, wscript.exe o whoami.exe).
- Análisis de Crashes Recurrentes: Supervisar las bitácoras de eventos de Windows (Application Logs) en busca de errores constantes de exclusión o colapsos repetitivos en los módulos de renderizado de Edge, los cuales podrían ser indicadores tempranos de intentos fallidos de explotación del vector de memoria.
Para CTI (Inteligencia de Amenazas)
- Monitoreo de Repositorios de Explotación: Rastrear repositorios de seguridad y foros de vulnerabilidades en busca de Pruebas de Concepto (PoC) públicas que detallen el método específico utilizado para romper el sandbox de Edge, alimentando las reglas del SIEM corporativo.
- Evaluación de Canales de Entrega: Mantener actualizados los perfiles de riesgo tecnológico de la organización, reconociendo que el navegador web sigue siendo el eslabón perimetral más expuesto para el acceso inicial de corredores de acceso (IABs) y actores de ransomware.
