En la edición de agosto de los “martes de parches”, Microsoft corrige 107 vulnerabilidades, incluyendo una falla crítica de día cero en Windows Kerberos que permite a atacantes autenticados elevar privilegios a nivel de administrador de dominio.
Además, esta semana destacamos la vulnerabilidad crítica en WinRAR (CVE-2025-8088), la cual fue explotada para distribuir el malware RomCom mediante archivos RAR manipulados que permitían ejecución remota de código, y desde el frente de amenazas, el ransomware Akira está abusando de un controlador legítimo de Intel para desactivar Microsoft Defender, facilitando ataques a nivel kernel y campañas que incluyen explotación de VPNs y distribución de malware.
Microsoft corrige un día cero y 107 fallas en su Patch Tuesday de agosto
En el martes de parches de agosto 2025, Microsoft lanzó actualizaciones para solucionar 107 vulnerabilidades, entre ellas una vulnerabilidad de día cero públicamente divulgada en Windows Kerberos (CVE-2025-53779) que permite a un atacante autenticado elevar privilegios a nivel de administrador de dominio. Además, se corrigieron trece fallas críticas, nueve de ejecución remota de código, tres de divulgación de información y una de elevación de privilegios, junto con múltiples errores de denegación de servicio y suplantación de identidad.
La vulnerabilidad en Kerberos, descubierta por Yuval Gordon de Akamai, se explota mediante acceso elevado a ciertos atributos dMSA, permitiendo a atacantes autenticados escalar privilegios dentro de la red. Microsoft recomienda aplicar las actualizaciones para proteger sistemas, ya que estas correcciones incluyen también fallas críticas y otras vulnerabilidades de alta severidad detectadas en distintos productos de la compañía.
Microsoft lanza actualización de seguridad para Windows 11 con múltiples mejoras y correcciones
Microsoft ha publicado las actualizaciones acumulativas KB5063878 y KB5063875 para Windows 11 versiones 24H2 y 23H2, incorporando los parches de seguridad correspondientes al Patch Tuesday de agosto 2025. Estas actualizaciones corrigen vulnerabilidades detectadas en meses anteriores e incluyen mejoras funcionales como una recuperación rápida automática para reducir tiempos de inactividad, ajustes en la interfaz de configuración, mejoras en el menú Inicio, Snap y el teclado táctil orientado a juegos, además de solucionar problemas con el Explorador de archivos y las notificaciones.
Además, Microsoft recuerda que el soporte para Windows 11 versión 23H2 finalizará el 11 de noviembre de 2025, por lo que los usuarios deberán actualizar a la versión 24H2 para seguir recibiendo soporte y actualizaciones. La actualización está disponible automáticamente a través de Windows Update o mediante descarga manual desde el catálogo de Microsoft, y no se han reportado problemas conocidos tras su instalación.
WinRAR corrige vulnerabilidad crítica explotada como zero-day para distribuir malware RomCom
Una vulnerabilidad de tipo directory traversal en WinRAR (CVE-2025-8088) fue explotada como zero-day en campañas de phishing para instalar el malware RomCom. El fallo, corregido en la versión 7.13, permitía que archivos RAR especialmente manipulados extrajeran contenido en rutas arbitrarias, como la carpeta de inicio de Windows, logrando así ejecución remota de código. Aunque la falla no afecta a sistemas Unix ni a RAR para Android, la ausencia de actualización automática en WinRAR obliga a los usuarios a descargar manualmente la versión corregida desde el sitio oficial.
Investigadores de la firma de seguridad ESET detectaron correos de spearphishing con archivos RAR maliciosos que aprovechaban esta falla para instalar backdoors del grupo RomCom, una operación vinculada a Rusia y asociada con robo de credenciales, ransomware y campañas de espionaje. RomCom, también conocido como Storm-0978, Tropical Scorpius o UNC2596, es conocido por usar vulnerabilidades de día cero y malware a medida para persistencia y robo de datos.
Miles de servidores Exchange siguen expuestos a vulnerabilidad crítica
Más de 29 mil servidores Microsoft Exchange en todo el mundo siguen sin aplicar el parche contra la vulnerabilidad CVE-2025-53786, una falla de alta gravedad que permite a atacantes con acceso administrativo moverse lateralmente hacia entornos en la nube de Microsoft, pudiendo llegar a un compromiso total del dominio. El fallo afecta a Exchange Server 2016, 2019 y la edición por suscripción, y fue abordado por Microsoft en abril de 2025 con un hotfix que reemplaza el modelo de identidad compartida insegura en entornos híbridos. Aunque no se han detectado casos confirmados de explotación, la compañía clasifica el riesgo como “Exploitation More Likely” debido a la posibilidad de que surja código de explotación confiable.
En Estados Unidos, la Agencia de Ciberseguridad de ese país (CISA) emitió la Directiva de Emergencia 25-02 ordenando a las agencias federales mitigar el fallo antes de la mañana del lunes posterior a su divulgación. Esto incluye inventariar los entornos Exchange, aislar versiones no soportadas y aplicar las actualizaciones acumulativas y el hotfix de abril. Más de 7.200 servidores vulnerables se encuentran en os Estados Unidos, seguidos por Alemania (6.700) y Rusia (2.500). CISA advirtió que no actuar podría derivar en un compromiso total de entornos híbridos y exhortó a todas las organizaciones, aunque no estén obligadas, a aplicar las medidas recomendadas para proteger sus sistemas.
Centro de ciberseguridad de Países Bajos advierte de dos vulnerabilidades críticas en Citrix NetScaler
El Centro Nacional de Seguridad Cibernética de los Países Bajos (NCSC) alertó sobre la explotación activa de una vulnerabilidad crítica en Citrix NetScaler, identificada como CVE-2025-6543, que permite a atacantes ejecutar código remoto y causar denegación de servicio. La falla, un error de desbordamiento de memoria, fue utilizada como zero-day para vulnerar múltiples organizaciones críticas en el país desde al menos mayo de este año, antes de que Citrix publicara los parches en junio. Los atacantes también eliminaron rastros de sus intrusiones para ocultar su actividad. Se calculan unos 4.100 dispositivos vulnerables.
El NCSC recomendó actualizar urgentemente a las versiones parcheadas de NetScaler ADC y Gateway y seguir un proceso de cierre de sesiones activas para mitigar el riesgo. Además, proporcionaron un script para detectar indicadores de compromiso en sistemas afectados, como archivos PHP sospechosos.
Además, existen alrededor de 3.300 dispositivos Citrix NetScaler que continúan sin ser parcheados contra la vulnerabilidad crítica CVE-2025-5777, conocida como CitrixBleed 2, que permite a atacantes secuestrar sesiones de usuarios y evadir autenticaciones multifactor mediante el robo de tokens y credenciales. Esta falla, que afecta a servidores configurados como Gateway o AAA, fue explotada activamente en ataques zero-day antes de la disponibilidad pública de exploits, poniendo en riesgo la seguridad de múltiples organizaciones.
Ghost Calls, la nueva técnica para ocultar tráfico malicioso en Zoom y Teams
Investigadores de Praetorian han presentado en BlackHat USA una técnica denominada Ghost Calls, que permite a atacantes ocultar tráfico de comando y control (C2) usando servidores TURN de aplicaciones como Zoom y Microsoft Teams. El método no explota vulnerabilidades, sino que aprovecha credenciales legítimas y el protocolo WebRTC para tunelizar datos a través de la infraestructura confiable de estas plataformas, disfrazando la actividad maliciosa como si fuera una videollamada normal. Esto le permite eludir firewalls, proxies y sistemas de inspección TLS, beneficiándose además de la encriptación y el alto rendimiento de las conexiones.
La investigación incluye la herramienta de código abierto TURNt, que facilita tareas como proxying SOCKS, reenvío de puertos, exfiltración de datos y ocultamiento de sesiones VNC. Aunque Zoom ya implementó una mitigación para limitar este abuso en su infraestructura, la técnica podría seguir siendo viable en otros escenarios. Microsoft Teams aún no ha confirmado si aplicará contramedidas.
Ransomware Akira explota controlador legítimo de Intel para desactivar Microsoft Defender
Investigadores de Guidepoint Security han detectado que el ransomware Akira está abusando del controlador legítimo rwdrv.sys, usado por la herramienta ThrottleStop, para obtener acceso a nivel kernel en ataques Bring Your Own Vulnerable Driver (BYOVD). Este acceso se utiliza para cargar un segundo controlador malicioso, hlpdrv.sys, el cual modifica el registro de Windows para desactivar Microsoft Defender. La técnica ha sido observada de forma recurrente desde el 15 de julio de este año y se han publicado reglas YARA e indicadores de compromiso para ayudar a su detección.
Además, Akira ha sido vinculado a ataques contra VPNs de SonicWall, posiblemente aprovechando una vulnerabilidad desconocida, así como a campañas que emplean el loader Bumblebee, distribuido mediante instaladores MSI troyanizados de herramientas de TI obtenidos por SEO poisoning. Tras el acceso inicial, los atacantes realizan reconocimiento, crean cuentas privilegiadas, exfiltran datos y despliegan el locker de Akira para cifrar sistemas en menos de dos días. Se recomienda reforzar MFA, filtrar conexiones maliciosas y descargar software solo desde fuentes oficiales.
La campaña de extensiones GreedyBear roba un millón de dólares a usuarios de Firefox
La firma Koi Security ha descubierto la operación GreedyBear, la cual infiltró 150 extensiones maliciosas en la tienda de complementos de Mozilla Firefox, robando cerca de un millón de dólares a usuarios de criptomonedas. Estas extensiones se hicieron pasar inicialmente por billeteras de criptomonedas legítimas como MetaMask, TronLink y Rabby para pasar la revisión de Mozilla y acumular reseñas falsas. Luego, los atacantes cambiaban su apariencia y añadían código malicioso para registrar las credenciales e IP de las víctimas, enviándolas a un servidor de comando y control.
La campaña también incluye sitios web que distribuyen software pirata y malware como LummaStealer, troyanos genéricos e incluso ransomware, así como páginas que suplantan a Trezor y otros servicios de billeteras. Aunque Mozilla eliminó las extensiones, la operación mostró cómo el uso de IA facilita a los cibercriminales escalar y diversificar ataques. Koi Security advirtió que los operadores ya experimentan con la Chrome Web Store, habiéndose detectado una extensión maliciosa con la misma lógica de robo y el mismo servidor C2. Se recomienda descargar extensiones solo desde fuentes oficiales y verificadas.
Nueva herramienta EDR killer usada por, al menos, ocho grupos de ransomware
Investigadores de Sophos han identificado una nueva herramienta para desactivar soluciones de seguridad, considerada la evolución de EDRKillShifter y utilizada por grupos como RansomHub, Blacksuit, Medusa, Qilin, Dragonforce, Crytox, Lynx e INC. El malware, altamente ofuscado, se auto-decodifica en ejecución e inyecta su código en aplicaciones legítimas, buscando un controlador firmado digitalmente (con certificado robado o caducado) para ejecutar un ataque Bring Your Own Vulnerable Driver (BYOVD) y obtener privilegios de kernel. Una vez activo, detiene procesos y servicios de antivirus y EDR, apuntando a productos de Microsoft, Kaspersky, Trend Micro, SentinelOne, McAfee, entre otros.
Sophos destaca que no se trata de una sola versión filtrada, sino de múltiples builds generadas en un marco de desarrollo compartido entre grupos de ransomware, lo que sugiere colaboración activa incluso entre rivales. Este patrón recuerda a otras herramientas similares como AuKill y AvNeutralizer, previamente utilizadas por bandas como LockBit y BlackBasta. Los indicadores de compromiso del nuevo EDR killer han sido publicados en GitHub para facilitar su detección.
Librerías falsas para desarrolladores de WhatsApp ocultan un código que borra datos
Investigadores de Socket han detectado dos paquetes maliciosos en NPM -naya-flore y nvlore-hsc- que se hacen pasar por librerías de desarrollo para WhatsApp pero, contienen código para borrar de forma recursiva todos los archivos en el sistema de los desarrolladores. Estos paquetes, descargados más de 1.100 veces desde su publicación, incluyen una función que descarga desde GitHub una lista de números indonesios usados como «kill switch» para excluir a ciertos usuarios del ataque. Aunque contienen también una función de exfiltración de datos, esta se encuentra desactivada por el momento. Socket advierte que otros paquetes del mismo autor podrían activarse maliciosamente en cualquier momento.
En paralelo, se descubrieron 11 paquetes maliciosos en el ecosistema Go, muchos de ellos typosquats, que utilizan ofuscación y ejecutan cargas útiles remotas al ser instalados. Estas amenazas descargan scripts o ejecutables desde dominios sospechosos y los ejecutan en memoria, afectando tanto a servidores Linux como a estaciones de trabajo Windows. Muchos de estos paquetes aún están disponibles, por lo que se recomienda a desarrolladores verificar cuidadosamente las bibliotecas antes de integrarlas en sus proyectos.
Descubren 60 Ruby gems maliciosas que roban credenciales a desarrolladores
Investigadores de Socket identificaron 60 paquetes Ruby (gems) maliciosos que, desde marzo de 2023, han sido descargados más de 275.000 veces, principalmente por desarrolladores surcoreanos que usan herramientas de automatización para Instagram, TikTok, Telegram, WordPress y otras plataformas. Aunque mostraban interfaces y funciones legítimas, en realidad actuaban como herramientas de phishing, robando credenciales, direcciones MAC y otros datos a través de formularios falsos, enviándolos a servidores controlados por los atacantes.
Las gemas fueron publicadas bajo varios alias en RubyGems.org para evadir detección, y parte de las credenciales robadas ya circulan en mercados clandestinos rusos. A pesar de que Socket notificó todos los paquetes a RubyGems, al menos 16 siguen activos. Los investigadores recomiendan a los desarrolladores revisar el código de las librerías antes de integrarlas, verificar la reputación de los autores y usar versiones bloqueadas de dependencias confiables para prevenir ataques de la cadena de suministro.
Google confirma filtración de datos en incidente que afecta a potenciales clientes de Google Ads
Google confirmó que una brecha en una de sus instancias corporativas de Salesforce expuso información de contacto de potenciales clientes de Google Ads, incluyendo nombres de empresa, teléfonos y notas comerciales. El incidente fue atribuido a ShinyHunters, grupo que colabora con Scattered Spider -ahora bajo el nombre «Sp1d3rHunters»- en ataques de ingeniería social para obtener credenciales y vincular aplicaciones maliciosas a entornos de Salesforce. Google aclaró que no se filtraron datos de pago ni información de cuentas publicitarias activas.
Los atacantes aseguraron haber obtenido 2,55 millones de registros y habrían exigido un rescate de 20 bitcoins (unos 2,3 millones de dólares), aunque luego afirmaron que el mensaje fue enviado “por diversión”. La filtración forma parte de una campaña más amplia de robo y extorsión dirigida a clientes de Salesforce, en la que los actores de amenazas descargan bases de datos completas y presionan a las empresas con amenazas de divulgación de datos. Google reportó que los atacantes ahora emplean scripts en Python para agilizar la extracción de información.
Debe estar conectado para enviar un comentario.