Alertas

MSHTA: Binario Heredado de Windows Explotado Activamente como LOLBIN

A3Sec — Wed, 10 Jun 2026 16:00:00 GMT

Se informa sobre una investigación publicada por Bitdefender Labs el 19 de mayo de 2026 que documenta el incremento sostenido en el abuso activo de mshta.exe, utilitario heredado de Internet Explorer presente por defecto en todas las versiones de Windows incluida Windows 11, como binario Living-off-the-Land (LOLBIN) para la ejecución sigilosa de malware en entornos corporativos y de usuario final, siendo utilizado en cadenas de ataque multi-etapa que distribuyen familias de alto impacto como LummaStealer, CountLoader, Emmenhtal Loader, ClipBanker y PurpleFox, aprovechando que el binario está firmado por Microsoft, es considerado confiable por la mayoría de soluciones de seguridad y no existe indicación pública de su eliminación en versiones próximas de Windows, lo que mantiene esta superficie de ataque activa para organizaciones de todos los sectores.

Descubre todos los detalles de cómo protegerte, revisando el boletín completo.

Explotación Activa de Vulnerabilidades Zero-Day en Microsoft Defender

A3Sec — Wed, 10 Jun 2026 14:00:02 GMT

Se emite una alerta crítica relativa a la identificación y explotación activa de dos vulnerabilidades de día cero ("Zero-Day") que afectan a Microsoft Defender, la solución de protección de endpoints nativa en entornos Windows.

Se ha confirmado la existencia de los fallos catalogados como CVE-2026-41091 (Elevación de Privilegios Locales) y CVE-2026-45498 (Denegación de Servicio), ambos incluidos recientemente en el catálogo de Vulnerabilidades Explotadas Conocidas (KEV) de CISA.

Los actores de amenazas están aprovechando estas deficiencias para neutralizar las capacidades de detección en tiempo real de los sistemas afectados y, simultáneamente, escalar privilegios hasta el nivel más alto del sistema (SYSTEM) a partir de un acceso inicial limitado. Esta combinación de factores incrementa exponencialmente el riesgo operativo y de seguridad, facilitando la ejecución de campañas de malware y ransomware sin ser detectadas. Se requiere la actualización inmediata de los componentes afectados.

Descubre todos los detalles de cómo protegerte, revisando el boletín completo.

MiniPlasma (CVE-2020-17103) Escalada Local de Privilegios a SYSTEM en Windows 11

A3Sec — Wed, 10 Jun 2026 12:00:02 GMT

Se informa sobre la publicación de MiniPlasma, un exploit funcional de escalada local de privilegios (LPE) que permite a un usuario estándar obtener privilegios máximos de SYSTEM en sistemas Windows 10, Windows 11 y Windows Server actualizados a mayo de 2026, incluidas las actualizaciones del Patch Tuesday publicadas el 13 de mayo.

La técnica explota una race condition en el controlador cldflt.sys (Windows Cloud Files Mini Filter Driver) mediante la API no documentada CfAbortHydration, y se vincula con CVE-2020-17103, una vulnerabilidad que Microsoft declaró corregida en diciembre de 2020 pero que, según investigaciones independientes, permanece activa o fue reintroducida silenciosamente.

El PoC, lanzado públicamente en GitHub el 13 de mayo de 2026 por el investigador Nightmare-Eclipse (también conocido como Chaotic Eclipse), ha sido verificado de forma independiente por el investigador Will Dormann, lo que eleva significativamente el riesgo de adopción masiva por actores de amenaza. A la fecha de este boletín, Microsoft no ha emitido un parche y el próximo Patch Tuesday está programado para el 10 de junio de 2026.

Descubre todos los detalles de cómo protegerte, revisando el boletín completo.

Microsoft 365 Copilot: Análisis Exhaustivo de Vulnerabilidades Críticas

A3Sec — Wed, 10 Jun 2026 10:00:00 GMT

Se informa sobre la detección de tres vulnerabilidades críticas en herramientas de inteligencia artificial de Microsoft, específicamente en Microsoft 365 Copilot y Copilot Chat de Microsoft Edge. Estas fallas podrían permitir la exposición no autorizada de información sensible de las organizaciones, representando un riesgo importante para la seguridad corporativa.

Aunque Microsoft ya aplicó medidas de contención en la nube, se recomienda a las organizaciones fortalecer sus políticas de seguridad, control de accesos y gobernanza de inteligencia artificial para reducir posibles impactos.

Descubre todos los detalles de cómo protegerte, revisando el boletín completo.

CISA alerta sobre el malware FIRESTARTER dirigido a dispositivos Cisco

A3Sec — Wed, 10 Jun 2026 08:00:00 GMT

Se identificó una alerta publicada por la Agencia de Ciberseguridad y Seguridad de Infraestructura de los Estados Unidos (CISA) relacionada con FIRESTARTER, un malware de tipo puerta trasera que está siendo utilizado para mantener acceso persistente a dispositivos Cisco Firepower y Secure Firewall que ejecutan software ASA o FTD.

Descubre todos los detalles de cómo protegerte, revisando el boletín completo.

UNC6692 usa Microsoft para explotar el malware Snow

A3Sec — Wed, 10 Jun 2026 06:00:00 GMT

Se informa sobre la identificación de una campaña avanzada que combina múltiples técnicas para engañar a los usuarios y obtener acceso no autorizado a entornos corporativos, con el objetivo de comprometer sistemas críticos y extraer información sensible, representando un riesgo significativo para la seguridad de las organizaciones.

Descubre todos los detalles de cómo protegerte, revisando el boletín completo.

Vulnerabilidad de Acceso no Autorizado en la API de Cisco Secure Workload

A3Sec — Tue, 09 Jun 2026 17:59:59 GMT

Se identificó un aviso de seguridad publicado por Cisco relacionado con una vulnerabilidad crítica en Cisco Secure Workload.

La vulnerabilidad se origina por mecanismos insuficientes de validación y autenticación en las API REST internas de Cisco Secure Workload. Esta condición podría permitir que un atacante remoto no autenticado acceda a recursos del sistema con privilegios elevados mediante el envío de solicitudes manipuladas hacia los endpoints afectados.

Cisco Secure Workload es una solución empresarial diseñada para proteger cargas de trabajo, aplicaciones y entornos híbridos dentro de infraestructuras corporativas modernas. De ser aprovechada, la vulnerabilidad podría permitir la lectura de información sensible y la realización de cambios de configuración entre distintos inquilinos con privilegios equivalentes a los de un administrador del sitio.

Descubre todos los detalles de cómo protegerte, revisando el boletín completo.

Kali365: Plataforma PhaaS de Secuestro de Tokens OAuth

A3Sec — Tue, 09 Jun 2026 15:59:59 GMT

Se informa sobre la alerta emitida por el FBI el 21 de mayo de 2026 (IC3 PSA260521) en relación con Kali365, una plataforma de Phishing-as-a-Service (PhaaS) que abusa del flujo de autorización OAuth Device Code de Microsoft para capturar tokens de acceso a Microsoft 365 y evadir completamente la autenticación multifactor (MFA), sin necesidad de interceptar contraseñas ni códigos OTP.

Distribuida a través de Telegram desde abril de 2026 a un costo de USD 250 por mes, Kali365 pone capacidades de phishing avanzado con inteligencia artificial al alcance de actores sin conocimientos técnicos, y ha sido vinculada a cientos de compromisos diarios en sectores como manufactura, finanzas, salud, gobierno y educación en Norteamérica y Europa. Este boletín alerta a organizaciones con entornos Microsoft 365 sobre el riesgo inminente, los indicadores de compromiso disponibles, y las acciones de mitigación urgentes, entre ellas la restricción del flujo de Device Code mediante políticas de acceso condicional.

Descubre todos los detalles de cómo protegerte, revisando el boletín completo.

Buffer Overflow Crítico en PAN-OS

A3Sec — Tue, 09 Jun 2026 14:00:05 GMT

Se informa sobre una vulnerabilidad crítica identificada como CVE-2026-0300, un desbordamiento de búfer (buffer overflow) en el servicio User-ID™ Authentication Portal (también conocido como Captive Portal) del sistema operativo PAN-OS de Palo Alto Networks, divulgada el 5 de mayo de 2026 y adicionada al catálogo de vulnerabilidades conocidas explotadas (KEV) de CISA con plazo de remediación para agencias federales estadounidenses el 9 de mayo de 2026.

La vulnerabilidad, con puntuación CVSS 4.0 de 9.3, permite a un atacante no autenticado ejecutar código arbitrario con privilegios root en firewalls PA-Series y VM-Series mediante el envío de paquetes especialmente diseñados, sin requerir credenciales ni interacción del usuario; la unidad de inteligencia Unit 42 de Palo Alto Networks ha confirmado explotación por actores de amenaza de nivel Estado-nación, incluyendo post-explotación con inyección de shellcode en procesos nginx, enumeración de Active Directory y despliegue de herramientas de tunelización EarthWorm y ReverseSocks5, por lo que el CSVD emite la presente alerta para organizaciones con infraestructura de red basada en PAN-OS en sectores financiero, gubernamental, energía y telecomunicaciones.

Descubre todos los detalles de cómo protegerte, revisando el boletín completo.

Vulnerabilidad Crítica Dirty Frag en el Kernel de Linux

A3Sec — Tue, 09 Jun 2026 12:00:01 GMT

Se emite el presente boletín de inteligencia de carácter urgente para alertar sobre el descubrimiento y explotación pública de "Dirty Frag" (CVE-2026-43284 y CVE-2026-43500). Esta vulnerabilidad crítica afecta al Kernel de Linux y permite a un atacante con acceso local de bajo privilegio escalar sus permisos hasta alcanzar el nivel máximo de root. La falla se origina en la gestión de cachés de memoria (Page Cache) durante el procesamiento fragmentado de paquetes IPsec (XFRM ESP y RXRPC).

Dado que se ha publicado código de explotación funcional (PoC) en repositorios abiertos y la vulnerabilidad afecta a múltiples distribuciones corporativas ampliamente utilizadas, el riesgo operacional es inminente. Se requiere la priorización del ciclo de parcheo en la infraestructura de servidores Linux.

Descubre todos los detalles de cómo protegerte, revisando el boletín completo.