Boletín Sentry — CVEs críticos y urgentes, mayo 2026
Fichas técnicas de los CVEs críticos detectados por Sentry en mayo 2026: contexto de explotación, MITRE ATT&CK, KQL hunting queries y playbook SOC para cada caso
10 mayo 2026 · 10 min · 2081 words · Jorge Castañeda | Sugerir cambios
Notas previas — léelas antes de operar sobre este contenido
Los CVE IDs aquí listados provienen del feed real de Sentry en mayo de 2026. Cada ficha enlaza a MSRC y NVD para verificación. Si un enlace devuelve 404, el advisory aún no es público y el dato proviene de pre-disclosure: trátalo como “under investigation” hasta confirmar.
Las KQL incluidas son hunting queries, no reglas de alerta listas. Ajusta TimeGenerated y campos al esquema real de tu workspace antes de promoverlas.
Sentry marca cada amenaza como New | Triaged | Mitigating | Patched | Ignored en el Workflow Kanban. Las acciones de este boletín están pensadas para mover una tarjeta de New a Mitigating en la misma sesión.
SigninLogs
| where TimeGenerated > ago(7d)
| where ResourceDisplayName has "Microsoft Teams"
| where ResultType == 0
| summarize signIns = count(), countries = make_set(LocationDetails.countryOrRegion, 5)
by UserPrincipalName, IPAddress
| where array_length(countries) > 1
| order by signIns desc
Mitigación inmediata (orden de ejecución SOC)
Validar exposición: confirmar en Microsoft 365 Admin Center la versión actual del servicio Teams Events y revisar el banner de status de MSRC.
Auditar accesos privilegiados: identificar usuarios con rol Teams Administrator o Global Reader y validar sus sign-ins de las últimas 14 días.
Logs Teams/Audit: ejecutar la KQL anterior con lookback = 14d para detectar lecturas masivas previas al disclosure.
Conditional Access: confirmar que el acceso a Teams requiere MFA y device compliance. Si no, crear policy temporal scoped a Office 365 con MFA forzado para mitigar reutilización de tokens.
Comunicación: alertar al equipo de eventos corporativos por si hubo town halls con contenido sensible (financiero, HR, M&A) en la ventana 1–7 mayo.
Confirmar parcheo: cuando MSRC marque Resolved, mover la tarjeta del Workflow Sentry a Patched y registrar evidencia.
AzureDiagnostics
| where TimeGenerated > ago(30d)
| where ResourceType == "ACTIONGROUPS"
| where Category == "Webhook"
| extend uri = tostring(parse_json(Properties_s).webhookUri)
| where uri matches regex @"https?://(169\.254|127\.|10\.|192\.168|172\.(1[6-9]|2[0-9]|3[01])\.|metadata\.azure)"
| project TimeGenerated, Resource, uri
Mitigación inmediata
Listar Action Groups: az monitor action-group list -o table y revisar webhookReceivers de cada uno.
Validar destinos: eliminar webhooks hacia rangos privados, loopback o 169.254.x.x.
Egress control: si tu suscripción tiene NSG/Firewall de egress, bloquear IMDS desde recursos donde no aplique.
Alerta temporal SIEM: regla que dispare ante creación/modificación de Action Groups por un mes.
Importar este boletín a Sentinel: crear analytic rules a partir de las KQL anteriores. Empezar por queries en modo Scheduled (alert) con frequency = 1h, lookback = 24h.
Cobertura MITRE: cruzar las técnicas listadas (T1190, T1213, T1606, T1552.005, T1078.004) contra tu Defender XDR Coverage para identificar gaps.
Watchlist Sentry: crear watchlists por producto (Teams, Entra, Cassandra, Azure Monitor, AI Foundry) con severidad mínima medium y modo KEV-only para los próximos 30 días.
Próxima edición: este boletín se actualiza cuando MSRC publique versiones concretas. La fecha de lastmod refleja la última revisión.
Verificar el feed en vivo y conectar tu tenant
👉 sentry.d3fend.me — sign-in con Microsoft Entra ID, GitHub o Google. El módulo Cloud Assets cruza estos CVEs contra los recursos reales de tu suscripción.