Forensic & Security

🚨 Vulnerabilidad en WinZip permite ejecutar código malicioso sin alertas de seguridad 🚨 Se ha identificado una vulnerabilidad ALTA en WinZip que permite a atacantes eludir la función de seguridad "Mark-of-the-Web" (MotW) de Windows, lo que podría permitir la ejecución de código malicioso sin advertencias al usuario. 🔍 Detalles de la vulnerabilidad: CVE: 2025-33028 CVSS: 7.8 (Alta) Afecta a: WinZip versiones hasta la 29.0 📈 Descripción: Al extraer archivos de un archivo ZIP descargado de Internet, WinZip no conserva la etiqueta MotW en los archivos extraídos. Esto permite que archivos potencialmente peligrosos, como documentos de Office con macros, se ejecuten sin las advertencias de seguridad habituales. 🛡️ Recomendaciones: 1️⃣ Evitar abrir archivos ZIP de fuentes no confiables. 2️⃣ Utilizar herramientas de extracción alternativas que manejen correctamente la etiqueta MotW. 3️⃣ Escanear todos los archivos extraídos con software antivirus actualizado antes de abrirlos. 4️⃣ Deshabilitar la ejecución automática de macros en aplicaciones de Office. 5️⃣ Implementar controles adicionales para monitorear y restringir la ejecución de archivos recién extraídos en entornos corporativos. Esta vulnerabilidad destaca la importancia de una defensa en profundidad y la necesidad de mantener una vigilancia constante sobre las herramientas utilizadas en el manejo de archivos. #soc #dfir #ciberseguridad #vulnerabilidad

🔸 Amenaza: Malware se hace pasar por Cisco Webex para infectar sistemas corporativos Un nuevo malware está utilizando técnicas de suplantación para hacerse pasar por el instalador legítimo de #Cisco #Webex, con el objetivo de engañar a usuarios y desplegar software malicioso en sus dispositivos. 📌 Aspectos clave: ◾ El archivo malicioso se presenta como un instalador de Webex válido. ◾ Distribuido a través de campañas de phishing y páginas web fraudulentas. ◾ Una vez ejecutado, puede establecer persistencia en el sistema y robar información sensible. 🧠 Técnicas utilizadas: ◾ Ingeniería social (uso del nombre de una marca reconocida como Cisco Webex). ◾ Suplantación de instaladores legítimos. ◾ Comunicación con servidores de comando y control (C2) tras la instalación. 🎯 Recomendaciones: ◾ Descargar software únicamente desde fuentes oficiales. ◾ Verificar firmas digitales de los instaladores. ◾ Monitorizar procesos anómalos asociados a Webex en endpoints. ◾ Sensibilizar a los usuarios sobre este tipo de engaños. #soc #dfir #ciberseguridad #malware

🚨 Vulnerabilidad crítica en PyTorch permite ejecución remota de código incluso con medidas de seguridad activadas 🚨 Se ha identificado una vulnerabilidad crítica en #PyTorch que permite la ejecución remota de código (#RCE) al utilizar la función torch.load con el parámetro weights_only=True, una configuración previamente considerada segura. 📦 La vulnerabilidad afecta a todas las versiones hasta la 2.5.1 y ha sido corregida en la versión 2.6.0. 🔍 Detalles técnicos: ◾ CVE: 2025-32434 ◾ CVSS: 9.3 (Crítico) ◾ Vector de ataque: Un atacante puede crear un archivo de modelo malicioso que, al ser cargado con torch.load(weights_only=True), ejecuta código arbitrario en el sistema de la víctima. 💥 Impacto: Compromiso total del sistema, robo de datos sensibles y posible propagación lateral en entornos de entrenamiento distribuido. 🔐 Recomendaciones: 1️⃣ Actualizar inmediatamente a la versión 2.6.0 de PyTorch. 2️⃣ Evitar usar torch.load(weights_only=True) en producción si no se ha aplicado la corrección. 3️⃣ Usar alternativas seguras como safetensors.torch.load_model. 4️⃣ Validar y auditar modelos externos antes de cargarlos en tu entorno. 5️⃣ Implementar restricciones de ejecución en entornos de ML para limitar daños en caso de explotación. Este caso demuestra cómo incluso configuraciones pensadas para ser seguras pueden derivar en riesgos críticos si no se revisan con regularidad. #soc #dfir #ciberseguridad #vulnerabilidad

🔐 Phishing avanzado a través de #OAuth en Google: emails que parecen legítimos y evaden #Gmail Se ha detectado una campaña de phishing extremadamente sofisticada que abusa del sistema OAuth de #Google para enviar correos aparentemente legítimos —¡y que pasan todos los filtros de seguridad de Gmail! 😱 🧠 ¿Cómo funciona el ataque? 1️⃣ El atacante crea una app OAuth maliciosa con un nombre que contiene el mensaje del phishing. 2️⃣ Google envía una alerta a la cuenta del atacante (firmada con DKIM ✅). 3️⃣ Esa alerta se reenvía a la víctima desde no-reply@google.com (¡parece legítima!). 4️⃣ Incluye enlaces a sites.google.com que redirigen a páginas falsas de login. ⚠️ Resultado: robo de credenciales sin levantar sospechas. ✅ Recomendaciones: 🔐 Habilita MFA (autenticación en dos pasos) 🧩 Usa passkeys cuando sea posible 🧠 No confíes ciegamente en correos aunque parezcan venir de Google 👁️ Monitoriza accesos OAuth concedidos a apps externas Google ya ha confirmado el problema y está trabajando en medidas de mitigación. Este ataque demuestra cómo hasta los protocolos más confiables pueden ser usados con fines maliciosos. ¡Máxima atención! #soc #dfir #ciberseguridad #vulnerabilidad

🧠 Be malware, my friend. En Forensic&Security hemos adaptado una famosa filosofía porque en cada incidente, como en el combate, la flexibilidad y el conocimiento profundo marcan la diferencia. 💥 Nuestro equipo #DFIR además de aplicar técnicas avanzadas de reversing de malware, se meten en su mente papel para poder entender cómo actúa el adversario, identificar vectores. 🔍 En tiempos de amenazas cada vez más sofisticadas, no basta con responder: hay que comprender. Porque en ciberseguridad, como en las artes marciales, lo que no ves… es lo que te golpea. #dfir #malware #incidentresponse #ciberseguridad #SOC #reversing

🚨 Vulnerabilidad crítica en Erlang/OTP SSH: ejecución remota de código sin autenticación (CVE-2025-32433) 🚨 Se ha identificado una vulnerabilidad crítica en el servidor SSH de Erlang/OTP que permite a atacantes ejecutar código arbitrario de forma remota sin necesidad de autenticación. Esta falla afecta a todas las versiones hasta OTP-27.3.2, OTP-26.2.5.10 y OTP-25.3.2.19. 🔍 Detalles técnicos: ◾CVE: 2025-32433 ◾CWE: 306 (Falta de autenticación para función crítica) ◾CVSS: 10.0 (Crítico) ◾Vector: AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H La vulnerabilidad se origina por un manejo incorrecto de mensajes del protocolo #SSH, lo que permite a un atacante con acceso a la red ejecutar comandos arbitrarios sin credenciales válidas. Si el proceso del demonio SSH se ejecuta con privilegios elevados, el atacante podría obtener control total del sistema afectado. ✅ Recomendaciones: ◾ Actualizar inmediatamente a las versiones corregidas: OTP-27.3.3 OTP-26.2.5.11 OTP-25.3.2.20 ◾ Como medida temporal, se recomienda deshabilitar el servidor SSH o restringir el acceso mediante reglas de firewall hasta aplicar las actualizaciones correspondientes. Esta vulnerabilidad fue descubierta y reportada de manera responsable por investigadores de la Universidad Ruhr de Bochum. #soc #dfir #ciberseguridad #vulnerabilidad #Erlang #OTP

🚨 GitHub Enterprise Server: múltiples vulnerabilidades críticas permiten ejecución remota de código, exposición de datos y ataques #XSS 🚨 #GitHub ha publicado actualizaciones de seguridad para su producto Enterprise Server, abordando varias vulnerabilidades de alta gravedad que podrían permitir a atacantes ejecutar código arbitrario, acceder a datos sensibles y realizar ataques de cross-site scripting (XSS). 🔍 Detalles de las vulnerabilidades: ◾ CVE-2025-3509 (Crítica): Permite ejecución remota de código (#RCE) al explotar puertos asignados dinámicamente durante actualizaciones en caliente. Requiere permisos de administrador del sitio o privilegios de modificación de repositorios. ◾ CVE-2025-3124 (Media): Permite a usuarios no autorizados ver nombres de repositorios privados en la vista de seguridad avanzada de GitHub, debido a una falta de verificación de autorización al aplicar el filtro archived:. ◾ CVE-2025-3246 (Alta): Vulnerabilidad de XSS que permite la inyección de HTML/CSS malicioso en bloques matemáticos Markdown ($$..$$). Requiere interacción del usuario con contenido malicioso. 🖥️ Versiones afectadas: 3.13.0–3.13.13 (corregido en 3.13.14) 3.14.0–3.14.10 (corregido en 3.14.11) 3.15.0–3.15.5 (corregido en 3.15.6) 3.16.0–3.16.1 (corregido en 3.16.2) ✅ Recomendaciones: ◾ Actualizar inmediatamente a las versiones corregidas mencionadas. ◾ Revisar y auditar permisos de usuarios y repositorios. ◾ Monitorizar actividad inusual durante procesos de actualización en caliente. Estas vulnerabilidades fueron reportadas a través del programa de recompensas por errores de GitHub, destacando la importancia de la colaboración comunitaria en la seguridad. #soc #dfir #ciberseguridad #vulnerabilidad

🔒 Apple propone reducir la validez de los certificados SSL/TLS a solo 47 días Apple ha propuesto un cambio disruptivo en la gestión de identidad digital: limitar la validez de los certificados SSL/TLS a solo 47 días. Este cambio afectaría a todos los certificados reconocidos por el programa raíz de Apple (Safari y dispositivos iOS/macOS). 📉 Actualmente, los certificados tienen una validez máxima de 398 días. Reducirla a 47 días obligaría a las organizaciones a automatizar por completo la emisión y renovación de certificados. 🎯 ¿Por qué 47 días? Apple argumenta que ciclos más cortos: ✅ Mejoran la agilidad frente a compromisos ✅ Reducen la dependencia de CRLs y OCSP ✅ Aumentan la presión sobre la industria para adoptar prácticas seguras y modernas 🔐 Recomendaciones para empresas y equipos DevSecOps: ✅ Adoptar herramientas de gestión automatizada (ACME, certbot, etc.) ✅ Revisar el inventario de certificados y planificar renovaciones continuas ✅ Integrar la renovación en los pipelines CI/CD ✅ Supervisar la caducidad para evitar interrupciones en servicios críticos 💡 El cambio no es opcional: la confianza en internet evoluciona hacia la automatización total. #Ciberseguridad #SSL #TLS #CertificadosDigitales #Apple #HTTPS #PKI

🔒 La ciberseguridad se vive en Galicia. ViCONgal: Congreso de Ciberseguridad Vigo 25 y 26 abril de 2025 Desde Forensic&Security, estamos encantados de colaborar en la realización de VICON, el evento que impulsa el talento, la innovación y la conciencia en ciberseguridad en nuestra comunidad. 📍 Un encuentro imprescindible para visibilizar los desafíos y oportunidades del sector, conectar con profesionales y mostrar cómo Galicia también lidera en seguridad digital. 🌐 Más información sobre el evento: https://vicon.gal ¡Nos vemos! #VICON #Ciberseguridad #Galicia

🔐 [20250421] Resumen de las noticias más importantes de ciberseguridad de la semana. No descansamos ni en #SemanaSanta para estar al tanto de todas la vulnerabilidades, amenazas y zero-days: 📌 TOP noticias y amenazas destacadas: 🔹 Vulnerabilidades: Oracle lanza actualización crítica: 378 vulnerabilidades parcheadas en más de 100 productos 🔸 News: El sistema CVE se transforma: nace la CVE Foundation tras el fin de la financiación federal 🔹 Amenaza: Hackers venden presunto zero-day para Fortinet FortiGate en foros clandestinos 🔸 Explotación activa de archivos .RDP de Windows para conexiones remotas fraudulentas 🔹 News: OpenSSH 10.0 ya está disponible, incorporando mejoras clave en security y performance. 📎 Asegúrate de revisar tu exposición. 👉 Nuestro equipo SOC 24x7 y DFIR está disponible para acompañarte. #soc #dfir #ciberseguridad #vulnerabilidad