DEV Community

Christian Marbel Vega Mamani
Christian Marbel Vega Mamani

Posted on

🚨 Alerta de amenazas: creciente actividad de ransomware y vulnerabilidades críticas 🚨

#vulnerability #cybercrime #privacy #security

🤖 Auto-generated daily threat intelligence digest — March 15, 2026

Resumen diario de threat intelligence del 15 de marzo de 2026, donde se analizan las últimas amenazas y vulnerabilidades que afectan a la seguridad de las organizaciones. En este artículo, exploraremos la creciente actividad de ransomware y las vulnerabilidades críticas que deben ser abordadas de inmediato. Las fuentes consultadas incluyen a AWS Security, BleepingComputer, Group-IB, MSRC Microsoft, SANS ISC y The Hacker News.

ThreatIntel — SmartApeSG campaign usa página ClickFix para empujar Remcos RAT, (Sat, Mar 14th)

🔍 Qué está pasando

  • La campaña SmartApeSG está utilizando una página ClickFix para distribuir el Remcos RAT.
  • El ataque implica una página web maliciosa que se presenta como una página de solución de problemas de clics.
  • No se proporciona información sobre la vulnerabilidad asociada (CVE ID no mencionada).

⚠️ Por qué importa

La campaña SmartApeSG puede ser una amenaza significativa para las organizaciones y usuarios que no tienen medidas de seguridad adecuadas en su lugar de trabajo. El Remcos RAT es un troyano que puede permitir a los atacantes acceder a la información confidencial del dispositivo, incluyendo la información de inicio de sesión y los datos de la tarjeta de crédito. Además, el ataque por remoto puede provocar daños irreparables a la reputación de la organización afectada.

⚙️ Cómo funciona

El ataque comienza cuando el usuario visita la página ClickFix maliciosa. La página se presenta como una página de solución de problemas de clics y solicita que el usuario actualice su navegador o instale un complemento para solucionar el problema. En realidad, la página está diseñada para descargarse el Remcos RAT en el dispositivo del usuario. Una vez que el troyano está instalado, los atacantes pueden acceder al dispositivo y realizar acciones maliciosas, como robar información confidencial o tomar control remoto del dispositivo.

👁️ Qué vigilar

  • IOCs: Página ClickFix maliciosa.
  • Parches disponibles: No se proporciona información sobre parches disponibles.
  • Recomendaciones concretas: Actualizar el navegador y los complementos, evitar visitar páginas desconocidas y utilizar un antivirus actualizado para protegerse contra el Remcos RAT.

🔗 Fuente consultada: SANS ISC

Vulnerabilidad — CVE-2026-26017 CoreDNS ACL Bypass

🔍 Qué está pasando

  • Se ha publicado una vulnerabilidad en CoreDNS que permite el bypass de ACL (Acceso Control de Listas).
  • La vulnerabilidad tiene el identificador CVE-2026-26017.
  • La información publicada indica que se trata de una vulnerabilidad crítica.

⚠️ Por qué importa

La vulnerabilidad en CoreDNS puede permitir a atacantes acceder a recursos y datos confidenciales que no deberían estar disponibles. Esto puede tener graves consecuencias para organizaciones que utilizan CoreDNS, ya que un atacante podría aprovechar esta vulnerabilidad para obtener acceso no autorizado a sistemas y datos sensibles. La publicación de esta vulnerabilidad puede provocar una respuesta de parcheo urgente para mitigar el riesgo.

⚙️ Cómo funciona

La vulnerabilidad en CoreDNS se debe a una falla en la implementación de ACL, que permite a los atacantes acceder a recursos y datos que no deberían estar disponibles. La vulnerabilidad se puede aprovechar mediante la explotación de una condición específica en el código de CoreDNS, lo que permite al atacante bypassar las restricciones de ACL y acceder a recursos confidenciales.

👁️ Qué vigilar

  • Parches disponibles: Microsoft ha publicado parches para la vulnerabilidad CVE-2026-26017 en CoreDNS.
  • IOCs: Aún no se han publicado IOCs específicos para esta vulnerabilidad.
  • Recomendaciones concretas: Las organizaciones que utilizan CoreDNS deben aplicar los parches disponibles de inmediato para mitigar el riesgo de la vulnerabilidad. Además, se recomienda realizar una auditoría de seguridad para identificar y corregir cualquier configuración de ACL insegura.

🔗 Fuente consultada: MSRC Microsoft

Vulnerabilidad — CVE-2026-26018 CoreDNS Loop Detection Denial of Service Vulnerability

🔍 Qué está pasando

  • Se ha publicado una vulnerabilidad en CoreDNS conocida como CVE-2026-26018.
  • Esta vulnerabilidad afecta a la detección de bucle, lo que puede provocar un ataque de denegación de servicio (DoS).
  • Microsoft ha publicado información sobre la vulnerabilidad en su sitio web de seguridad.

⚠️ Por qué importa

La vulnerabilidad CVE-2026-26018 puede ser explotada por atacantes para causar un ataque de denegación de servicio (DoS) en servidores que utilizan CoreDNS. Esto puede provocar problemas de rendimiento o incluso la caída del servidor. Las organizaciones que dependen de CoreDNS para resolver nombres de dominio DNS deben tomar medidas para mitigar esta vulnerabilidad.

⚙️ Cómo funciona

La vulnerabilidad CVE-2026-26018 se debe a una falla en la detección de bucle en CoreDNS. Cuando un atacante envía un paquete de DNS específicamente diseñado, CoreDNS puede entrar en un bucle infinito, lo que provoca un consumo excesivo de recursos y puede provocar un ataque de denegación de servicio (DoS).

👁️ Qué vigilar

  • Parche disponible: Microsoft ha publicado un parche para la vulnerabilidad CVE-2026-26018 en su sitio web de seguridad.
  • IOCs: Los atacantes pueden utilizar paquetes de DNS específicamente diseñados para explotar la vulnerabilidad.
  • Recomendaciones: Las organizaciones deben aplicar el parche de seguridad disponible y monitorear su sistema para detectar cualquier actividad sospechosa relacionada con la vulnerabilidad.

🔗 Fuente consultada: MSRC Microsoft

Vulnerabilidad — CVE-2026-23868

🔍 Qué está pasando

  • Microsoft ha publicado información sobre una nueva vulnerabilidad.
  • No se proporcionan detalles adicionales sobre el tipo de vulnerabilidad o su impacto.
  • El CVE ID asignado es CVE-2026-23868.

⚠️ Por qué importa

La publicación de información sobre una vulnerabilidad por parte de Microsoft puede ser un indicio de que la vulnerabilidad ya ha sido identificada y es susceptible de ser explotada por atacantes. Esto puede tener un impacto significativo para organizaciones que no hayan implementado medidas de mitigación adecuadas, lo que podría llevar a la exposición de datos confidenciales o la ejecución de código malicioso.

⚙️ Cómo funciona

Aunque no se proporcionan detalles técnicos sobre la vulnerabilidad, es probable que se trate de una vulnerabilidad en el software de Microsoft que permita a un atacante ejecutar código arbitrario o acceder a información confidencial. La vulnerabilidad podría ser explotada a través de una acción específica, como la ejecución de un archivo malicioso o la navegación a una página web comprometida.

👁️ Qué vigilar

  • IOC: No se proporcionan IOCs directos, pero se recomienda mantenerse al tanto de cualquier actualización de seguridad de Microsoft relacionada con la vulnerabilidad CVE-2026-23868.
  • Parches disponibles: Microsoft publicará parches de seguridad para la vulnerabilidad una vez que se hayan completado las pruebas y la validación.
  • Recomendaciones: Organizaciones y usuarios deben mantener sus sistemas y aplicaciones de Microsoft actualizados con las últimas versiones de seguridad y seguir las mejores prácticas de seguridad para evitar la exposición a vulnerabilidades.

🔗 Fuente consultada: MSRC Microsoft

Vulnerabilidad — CVE-2026-31802 node-tar Symlink Path Traversal via Drive-Relative Linkpath

🔍 Qué está pasando

  • Se identificó una vulnerabilidad en el paquete node-tar que permite un ataque de travesía de paths mediante enlaces simbólicos (Symlink Path Traversal).
  • El ataque se puede ejecutar mediante un enlace de disco relativo.
  • La vulnerabilidad se identificó con el ID CVE-2026-31802.

⚠️ Por qué importa

La vulnerabilidad en node-tar puede permitir a un atacante acceder a archivos y directorios no autorizados, lo que podría llevar a la ejecución de código malicioso o la exfiltración de datos confidenciales. Esto puede ser especialmente perjudicial en entornos de desarrollo y pruebas, donde la seguridad de los proyectos puede estar comprometida.

⚙️ Cómo funciona

El ataque se produce cuando el paquete node-tar procesa un archivo tar que contiene un enlace de disco relativo. El enlace de disco relativo permite al atacante especifiar un path que puede ser interpretado como un path absoluto, lo que permite acceder a archivos y directorios no autorizados.

👁️ Qué vigilar

  • Verificar si se está utilizando el paquete node-tar en la aplicación.
  • Actualizar a la versión más reciente del paquete node-tar.
  • Habilitar la validación de enlaces de disco relativos en el paquete node-tar.

🔗 Fuente consultada: MSRC Microsoft

Vulnerabilidad — CVE-2026-3381 Compress::Raw::Zlib versions through 2.219 for Perl usan potencialmente versiones inseguras de zlib

🔍 Qué está pasando

  • Se ha identificado una vulnerabilidad en las versiones de Compress::Raw::Zlib para Perl hasta la 2.219.
  • La vulnerabilidad se debe a que estas versiones utilizan versiones potencialmente inseguras de zlib.
  • El CVE ID afectado es CVE-2026-3381.

⚠️ Por qué importa

La vulnerabilidad puede permitir ataques de seguridad, como la ejecución de código arbitrario, si se explota correctamente. Las organizaciones que utilizan Compress::Raw::Zlib en sus aplicaciones o servicios deben tomar medidas para mitigar el riesgo. Si no se parchean, las vulnerabilidades pueden ser explotadas por atacantes, lo que puede llevar a la pérdida de confianza de los clientes y daños financieros.

⚙️ Cómo funciona

La vulnerabilidad se debe a la forma en que Compress::Raw::Zlib utiliza versiones de zlib inseguras. Cuando se utiliza la función de compresión, se puede ejecutar código arbitrario si se envía un paquete malicioso que explote la vulnerabilidad. Esto puede ocurrir si un atacante envía un paquete de compresión malicioso a una aplicación que utiliza Compress::Raw::Zlib.

👁️ Qué vigilar

  • Parche disponible: Microsoft recomienda actualizar Compress::Raw::Zlib a versiones más seguras.
  • IOCs: Se deben vigilar paquetes de compresión sospechosos que puedan contener código malicioso.
  • Recomendaciones: Las organizaciones deben revisar sus aplicaciones y servicios para asegurarse de que estén utilizando versiones seguras de Compress::Raw::Zlib y aplicar parches de seguridad disponibles.

🔗 Fuente consultada: MSRC Microsoft

Vulnerabilidad — Ampliación de acceso a cuentas de AWS a través de IAM Identity Center

🔍 Qué está pasando

  • La funcionalidad de IAM Identity Center de AWS permite a las organizaciones extender el acceso a cuentas de AWS a múltiples regiones.
  • La replicación de regiones se habilita automáticamente cuando se agrega un nuevo Region.
  • Los usuarios reciben un punto de conexión de acceso portal activo en la nueva región.

⚠️ Por qué importa

La ampliación de acceso a cuentas de AWS a través de IAM Identity Center puede tener un impacto significativo en la seguridad de las organizaciones que dependen de AWS. Si la región principal experimenta una interrupción, los usuarios pueden seguir accediendo a las cuentas de AWS en la región secundaria, lo que ayuda a minimizar la interrupción del servicio. Sin embargo, esto también puede aumentar el riesgo de ataques de inyección de credenciales o phishing, ya que los usuarios pueden acceder a cuentas de AWS desde diferentes regiones.

⚙️ Cómo funciona

La replicación de regiones de IAM Identity Center se basa en la replicación de la configuración de acceso y la autenticación entre regiones. Cuando se agrega un nuevo Region, AWS crea un punto de conexión de acceso portal activo en la nueva región, lo que permite a los usuarios acceder a las cuentas de AWS desde allí. La replicación de regiones se realiza automáticamente y no requiere intervención manual.

👁️ Qué vigilar

  • Parche disponible: No se requiere parche específico para esta funcionalidad.
  • Recomendaciones: Las organizaciones deben evaluar cuidadosamente la necesidad de extender el acceso a cuentas de AWS a múltiples regiones y configurar la replicación de regiones de IAM Identity Center según sea necesario.
  • Monitoreo de actividad: Las organizaciones deben monitorear la actividad de acceso en las cuentas de AWS en todas las regiones para detectar cualquier actividad anormal.

🔗 Fuente consultada: AWS Security

Cibercrimen — El auge de los estafas de rastreo de envíos falsos en MEA

🔍 Qué está pasando

  • Los ciberdelincuentes están creando sitios web falsos que imitan a empresas de rastreo de envíos para estafar a los usuarios.
  • Estos sitios web suelen tener URLs muy similares a las de las empresas legítimas.
  • Los usuarios reciben correos electrónicos con enlaces a estos sitios web falsos, donde se les pide que proporcionen sus credenciales de seguridad.

⚠️ Por qué importa

La estafa de rastreo de envíos falsos puede tener un impacto significativo en las organizaciones y los usuarios. Los ciberdelincuentes pueden obtener acceso a credenciales de seguridad, lo que les permite robar identidades, realizar operaciones de pago no autorizadas y comprometer la confidencialidad de la información. Además, esta estafa puede ser difícil de detectar, ya que los sitios web falsos pueden ser muy similares a los legítimos.

⚙️ Cómo funciona

Los ciberdelincuentes crean sitios web falsos que imitan a empresas de rastreo de envíos, como FedEx o UPS. Estos sitios web suelen tener URLs muy similares a las de las empresas legítimas, lo que puede llevar a los usuarios a creer que están en un sitio web seguro. Cuando un usuario ingresa a uno de estos sitios web falsos, se le pide que proporcione sus credenciales de seguridad, como nombre de usuario y contraseña. Una vez que el usuario proporciona sus credenciales, los ciberdelincuentes pueden acceder a su cuenta y realizar operaciones no autorizadas.

👁️ Qué vigilar

  • IOC: URLs de sitios web falsos similares a empresas de rastreo de envíos legítimas.
  • Parche disponible: Asegúrate de verificar la autenticidad de los sitios web de rastreo de envíos antes de proporcionar tus credenciales de seguridad.
  • Recomendación: Si recibes un correo electrónico con un enlace a un sitio web de rastreo de envíos, asegúrate de verificar la autenticidad del sitio web antes de proporcionar tus credenciales de seguridad.

🔗 Fuente consultada: Group-IB

Vulnerabilidad — Six Supply Chain Attack Groups to Watch Out for in 2026

🔍 Qué está pasando

  • Se identificaron seis grupos de ataque de cadena de suministro que están comprometiendo SaaS, software de código abierto y proveedores de servicios de sistemas de información (MSP) en 2026.
  • Estos grupos están utilizando vulnerabilidades en la cadena de suministro para atacar a las organizaciones a través de sus proveedores.
  • Los grupos están comprometiendo plataformas de npm, que son ampliamente utilizadas en la industria de la tecnología.

⚠️ Por qué importa

La seguridad de la cadena de suministro es un problema crítico para las organizaciones, ya que un ataque en la cadena de suministro puede tener un impacto significativo en la seguridad y la confiabilidad de la infraestructura de TI. Los grupos de ataque están aprovechando vulnerabilidades en la cadena de suministro para atacar a las organizaciones a través de sus proveedores, lo que puede llevar a la exposición de datos confidenciales y la pérdida de credibilidad.

⚙️ Cómo funciona

Los grupos de ataque están comprometiendo plataformas de npm, que son ampliamente utilizadas en la industria de la tecnología. Los atacantes están utilizando vulnerabilidades en la cadena de suministro para introducir malware en las dependencias de npm, que luego son utilizadas por los desarrolladores para crear aplicaciones y servicios. Esto permite a los atacantes acceder a la infraestructura de TI de las organizaciones y comprometer la seguridad de la cadena de suministro.

👁️ Qué vigilar

  • IOC: Establecer un monitoreo de seguridad para detectar actividades sospechosas relacionadas con la cadena de suministro.
  • Parches disponibles: Actualizar las dependencias de npm y aplicar los parches disponibles para evitar la exposición a vulnerabilidades.
  • Recomendaciones concretas: Realizar una auditoría de la cadena de suministro para identificar vulnerabilidades y tomar medidas para mitigar el riesgo de ataques.

🔗 Fuente consultada: Group-IB

Cibercrimen — GTFire Phishing Scheme: Evitando la detección usando servicios de Google

🔍 Qué está pasando

  • Los ciberdelincuentes de GTFire están utilizando servicios de Google, como Firebase y Google Translate, para escalar campañas de phishing a nivel global.
  • El esquema se utiliza para evitar la detección por parte de los sistemas de seguridad.
  • El ataque implica la creación de sitios web de phishing que se ajustan a la geolocalización del usuario y la idioma del navegador.

⚠️ Por qué importa

El uso de servicios de Google por parte de GTFire para evitar la detección es un ejemplo de cómo los ciberdelincuentes están aprovechando las herramientas y servicios legítimos para llevar a cabo sus actividades maliciosas. Esto puede tener un impacto significativo en las organizaciones y usuarios, ya que el phishing es una de las tácticas de ciberataque más comunes y efectivas. Las víctimas pueden perder información confidencial, dinero y otros activos valiosos.

⚙️ Cómo funciona

El esquema de GTFire utiliza Google Firebase para crear sitios web de phishing que se ajustan a la geolocalización del usuario y la idioma del navegador. Esto se logra mediante la utilización de APIs de Google Translate para traducir el sitio web al idioma del navegador del usuario. Además, GTFire utiliza Google Firebase para almacenar y gestionar la información de los usuarios, lo que les permite escalar sus campañas de phishing a nivel global.

👁️ Qué vigilar

  • IOCs: Investigar y detectar sitios web que utilicen APIs de Google Translate y Firebase para evitar la detección.
  • Parches disponibles: Actualizar los sistemas de seguridad para detectar y bloquear sitios web que utilicen estas tácticas de evasión.
  • Recomendaciones concretas: Las organizaciones deben estar atentas a las nuevas tácticas de evasión utilizadas por los ciberdelincuentes y actualizar sus sistemas de seguridad para evitar la detección. Además, los usuarios deben ser conscientes de los riesgos del phishing y tomar medidas de seguridad para proteger sus credenciales y datos personales.

🔗 Fuente consultada: Group-IB

Vulnerabilidad — Operation Olalampo: Detrás de la última campaña de MuddyWater

🔍 Qué está pasando

  • MuddyWater APT ha lanzado una nueva operación cibernética, denominada Operation Olalampo.
  • Se han desplegado variantes de malware nuevos.
  • Se utiliza bots de Telegram para control de comando.

⚠️ Por qué importa

La campaña de MuddyWater puede tener un impacto significativo en organizaciones que no tengan medidas de seguridad adecuadas. La utilización de Telegram bots para control de comando es una estrategia innovadora que puede ser difícil de detectar. Además, el despliegue de malware nuevos puede aprovechar vulnerabilidades no conocidas hasta el momento.

⚙️ Cómo funciona

MuddyWater utiliza bots de Telegram para establecer una comunicación segura con sus malware, lo que les permite realizar acciones como la exfiltración de datos, la ejecución de comandos y la instalación de otras herramientas de espionaje. Los malware utilizados en esta campaña parecen ser variantes de herramientas ya conocidas, pero con funcionalidades actualizadas.

👁️ Qué vigilar

  • Buscar tráfico anormal hacia bots de Telegram en la red.
  • Actualizar software y parchear vulnerabilidades conocidas.
  • Monitorear acciones sospechosas de usuarios que utilicen Telegram, especialmente si se han detectado conexiones con direcciones IP desconocidas.

🔗 Fuente consultada: Group-IB

Cibercrimen — Infraestructura de Máquinas Virtuales Maliciosas en Indonesia

🔍 Qué está pasando

  • Los ciberdelincuentes están aprovechando la temporada de impuestos en Indonesia para lanzar una campaña de fraude utilizando aplicaciones falsas de Coretax.
  • Se ha detectado una infraestructura de Máquinas como Servicio (MaaS) industrializada detrás de la campaña, lista para atacar en cualquier lugar.
  • La infraestructura comparte malware y técnicas de evasión de detección.

⚠️ Por qué importa

La campaña de fraude en Indonesia no es aislada y puede extenderse a otras regiones. La existencia de una infraestructura de MaaS industrializada pone en peligro a organizaciones y usuarios de todo el mundo. Los ciberdelincuentes pueden utilizar esta infraestructura para lanzar ataques personalizados y escalables contra sus objetivos.

⚙️ Cómo funciona

La infraestructura de MaaS se utiliza para alojar y distribuir malware y herramientas de evasión de detección. Los ciberdelincuentes pueden acceder a esta infraestructura para lanzar ataques en masa y adaptarse rápidamente a las medidas de seguridad implementadas por las víctimas. La infraestructura también se utiliza para compartir técnicas de evasión de detección y mejorar la eficacia de los ataques.

👁️ Qué vigilar

  • Vigilar la aparición de aplicaciones falsas de Coretax y otros servicios de impuestos en línea.
  • Actualizar los sistemas y aplicaciones con los últimos parches de seguridad.
  • Monitorear el tráfico de red y detectar cualquier actividad sospechosa que pueda estar relacionada con la infraestructura de MaaS.

🔗 Fuente consultada: Group-IB

Vulnerabilidad — OpenClaw AI Agent Flaws Could Enable Prompt Injection and Data Exfiltration

🔍 Qué está pasando

  • La CNCERT de China alerta sobre debilidades de seguridad en OpenClaw, un agente de inteligencia artificial autónoma de código abierto y autoalojado.
  • Las configuraciones de seguridad por defecto de la plataforma son consideradas débiles.
  • Se informa que el uso de OpenClaw puede permitir inyección de comandos y exfiltración de datos.

⚠️ Por qué importa

La vulnerabilidad en OpenClaw puede tener un impacto significativo en las organizaciones que utilizan este agente de inteligencia artificial autónoma. Los atacantes podrían aprovechar las debilidades de seguridad para acceder a información confidencial y realizar acciones maliciosas, lo que podría llevar a una pérdida de datos, reputación y recursos. Además, la inyección de comandos y la exfiltración de datos pueden comprometer la integridad de la información y comprometer la seguridad en general.

⚙️ Cómo funciona

Las debilidades de seguridad en OpenClaw se deben a las configuraciones de seguridad por defecto débiles, que permiten a los atacantes acceder al sistema y realizar acciones maliciosas. La inyección de comandos se puede realizar mediante la manipulación de los comandos que se envían al agente de inteligencia artificial, lo que permite a los atacantes ejecutar código malicioso y acceder a información confidencial. La exfiltración de datos se puede realizar mediante la creación de canales de comunicación encubiertos entre el agente de inteligencia artificial y los servidores de los atacantes.

👁️ Qué vigilar

  • IOCs: No se proporcionan IOCs específicos en la noticia.
  • Parches disponibles: No se menciona la existencia de parches disponibles para abordar la vulnerabilidad.
  • Recomendaciones concretas: Las organizaciones que utilizan OpenClaw deben revisar y fortalecer sus configuraciones de seguridad por defecto, implementar medidas de autorización y control de acceso, y monitorear sus sistemas para detectar cualquier actividad sospechosa.

🔗 Fuente consultada: The Hacker News

Cibercrimen — GlassWorm Supply-Chain Attack Abuses 72 Open VSX Extensions to Target Developers

🔍 Qué está pasando

  • Los investigadores de ciberseguridad han detectado una nueva iteración de la campaña GlassWorm que supone una "escalada significativa" en cómo se propaga a través del registro Open VSX.
  • La amenaza utiliza extensionPack y extensionDependencies para convertir extensiones aisladas en transitivas.
  • Se han identificado 72 extensiones de Open VSX vulnerables.

⚠️ Por qué importa

Este ataque de cadena de suministro puede tener un impacto significativo en las organizaciones que dependen de las extensiones de Open VSX. Los desarrolladores que utilizan estas extensiones pueden verse comprometidos, lo que puede provocar la exposición de datos confidenciales y la ejecución de código malicioso. Además, la escalada de la campaña GlassWorm sugiere que la amenaza puede seguir evolucionando y volverse más sofisticada.

⚙️ Cómo funciona

La campaña GlassWorm utiliza extensionPack y extensionDependencies para inyectar un cargador malicioso en extensiones de Open VSX iniciales. Esto permite que el cargador se propague a través de la cadena de dependencias de las extensiones, lo que puede comprometer a múltiples desarrolladores y organizaciones. El cargador puede incluir malware que permite a los atacantes acceder a sistemas de la víctima y exfiltrar datos confidenciales.

👁️ Qué vigilar

  • IOCs: 72 extensiones de Open VSX vulnerables.
  • Parches disponibles: Ninguno mencionado en la noticia.
  • Recomendaciones concretas: Las organizaciones que dependen de las extensiones de Open VSX deben revisar cuidadosamente la cadena de dependencias de sus extensiones y aplicar actualizaciones de seguridad urgentemente.

🔗 Fuente consultada: The Hacker News

Vulnerabilidad — Microsoft libera parche OOB para Windows 11 para corregir la vulnerabilidad de RCE en RRAS

🔍 Qué está pasando

  • Microsoft ha lanzado un parche fuera de la banda (OOB) para corregir una vulnerabilidad de seguridad que afecta a dispositivos Windows 11 Enterprise que reciben actualizaciones hotpatch en lugar de las actualizaciones cumulativas de Patch Tuesday.
  • La vulnerabilidad es una falla de ejecución de código remoto (RCE) en el servicio de red de acceso remoto (RRAS).
  • El parche está disponible para dispositivos que reciben actualizaciones hotpatch.

⚠️ Por qué importa

Esta vulnerabilidad es crítica, ya que permite a un atacante ejecutar código arbitrario en un dispositivo Windows 11 Enterprise. Si un atacante logra explotar esta vulnerabilidad, puede obtener acceso no autorizado a la información del dispositivo y realizar acciones dañinas. Las organizaciones que utilizan dispositivos Windows 11 Enterprise deben aplicar el parche lo antes posible para evitar posibles ataques.

⚙️ Cómo funciona

La vulnerabilidad se produce debido a una falla de validación en el servicio RRAS, lo que permite a un atacante enviar paquetes de red maliciosos que pueden ejecutar código arbitrario en el dispositivo. El atacante puede aprovechar esta vulnerabilidad para obtener acceso no autorizado a la información del dispositivo, realizar acciones dañinas o incluso instalar malware.

👁️ Qué vigilar

  • Aplicar el parche OOB de Microsoft lo antes posible.
  • Verificar que los dispositivos Windows 11 Enterprise estén configurados para recibir actualizaciones hotpatch.
  • Monitorear el tráfico de red para detectar posibles intentos de explotación de la vulnerabilidad.

🔗 Fuente consultada: BleepingComputer

Top comments (0)