Microsoft ha lanzado actualizaciones fuera de banda para abordar una vulnerabilidad de seguridad en ASP.NET Core que podría permitir a un atacante escalar privilegios.

La vulnerabilidad, rastreada como CVE-2026-40372tiene una puntuación CVSS de 9,1 sobre 10,0. Está clasificado como Importante en cuanto a gravedad. A un investigador anónimo se le atribuye el mérito de descubrir e informar la falla.

«La verificación inadecuada de la firma criptográfica en ASP.NET Core permite a un atacante no autorizado elevar los privilegios en una red», Microsoft dicho en un aviso del martes. «Un atacante que aprovechara esta vulnerabilidad podría obtener privilegios de SISTEMA».

El gigante tecnológico dijo que un atacante podría aprovechar la vulnerabilidad para revelar archivos y modificar datos, pero enfatizó que una explotación exitosa depende de tres requisitos previos:

• La aplicación utiliza Microsoft.AspNetCore.DataProtection 10.0.6 de NuGet (ya sea directamente o mediante un paquete que depende de él, como Microsoft.AspNetCore.DataProtection.StackExchangeRedis).
• La copia NuGet de la biblioteca se cargó en tiempo de ejecución.
• La aplicación se ejecuta en Linux, macOS u otro sistema operativo que no sea Windows.

La vulnerabilidad ha sido abordada por Microsoft en ASP.NET Core versión 10.0.7.

«Una regresión en los paquetes NuGet Microsoft.AspNetCore.DataProtection 10.0.0-10.0.6 hace que el cifrador autenticado administrado calcule su etiqueta de validación HMAC sobre los bytes incorrectos de la carga útil y luego descarte el hash calculado en algunos casos», Microsoft explicado en sus notas de lanzamiento.

En tales escenarios, un atacante podría falsificar cargas útiles que pasen las comprobaciones de autenticidad de DataProtection, así como descifrar cargas útiles previamente protegidas en cookies de autenticación, tokens antifalsificación y otros.

«Si un atacante utilizó cargas útiles falsificadas para autenticarse como usuario privilegiado durante la ventana vulnerable, es posible que haya inducido a la aplicación a emitir tokens firmados legítimamente (actualización de sesión, clave API, enlace de restablecimiento de contraseña, etc.) para sí mismo», añadió. «Esos tokens siguen siendo válidos después de actualizar a 10.0.7 a menos que se rote el conjunto de claves de DataProtection».

Muchos líderes de seguridad todavía operan con marcos creados para una era diferente. Durante años, el éxito se medía mediante puntos de control fijos, como aprobar auditorías, cerrar vulnerabilidades y mantener el cumplimiento. Esos marcadores todavía tienen valor, pero fueron diseñados para un panorama de amenazas que se movía de manera lineal y predecible.

Hoy, ese panorama está cambiando en tiempo real. La IA está acelerando la forma en que los atacantes pueden identificar y explotar las debilidades, mientras que los entornos de nube y los sistemas autónomos cambian el terreno constantemente. El resultado es una brecha entre cómo se mide el riesgo y cómo se desarrolla realmente, donde las señales estáticas no pueden seguir el ritmo de las amenazas dinámicas.

Los CISO están bajo presión desde dos direcciones: el riesgo está creciendo y las herramientas destinadas a medirlo tienen dificultades para mantenerse al día. Los indicadores tradicionales a menudo reflejan el panorama de amenazas de ayer, lo que deja a los líderes de seguridad con una imagen incompleta de dónde se encuentran realmente.

La señal de los mitos

Informes recientes sobre Claude Mythos Preview de Anthropic, descrito como tan efectivo para descubrir vulnerabilidades que el acceso ha sido restringido, ofrecen una señal clara de hacia dónde se dirige la ciberseguridad. Modelos de IA como este demuestran que la velocidad y la escala de la explotación han cambiado fundamentalmente. Lo que antes a los atacantes expertos les llevaba días o semanas ahora puede suceder en minutos y, cada vez más, sin intervención humana.

Ese cambio es importante porque las capacidades de los atacantes se están acelerando más rápido de lo que la mayoría de las organizaciones pueden medir. La brecha entre cómo se desarrolla el riesgo y cómo los equipos de seguridad lo rastrean se está ampliando. Una auditoría “aprobada” le indica dónde ha estado, no dónde se encuentra. Un panel de postura refleja un momento en el tiempo, no un entorno en continuo cambio. Y una prueba de penetración es una instantánea, en un mundo donde las condiciones evolucionan constantemente.

Afinando la conversación este trimestre

Si sus conversaciones no han evolucionado para adaptarse a esta nueva realidad, su organización tiene un importante punto ciego. Aquí hay cinco preguntas que los CISO deberían utilizar para convertir el cambio actual en acción:

¿Qué podemos ver en tiempo de ejecución sin esperar un informe?
Las herramientas de configuración le dicen lo que debería ser cierto. La visibilidad en tiempo de ejecución le indica lo que es cierto en este momento. (Hacer un seguimiento: Si un atacante comienza a moverse lateralmente en nuestro entorno de nube hoy, ¿a qué velocidad lo sabremos, en minutos o días?)

¿Tenemos un inventario completo de identidades, incluidas las no humanas?
Los entornos empresariales están llenos de identidades más allá de los empleados. Proveedores, contratistas, cuentas de servicio, claves API, automatizaciones, identidades de máquinas y principios de nube se extienden por todos los sistemas. A los atacantes les encanta esa expansión porque robar credenciales suele ser más fácil que escribir malware.
(Hacer un seguimiento: ¿Cuántas identidades humanas y no humanas tenemos y cuáles pueden acceder a datos confidenciales o modificar infraestructura crítica?)

¿Dónde tenemos un exceso de permisos y con qué rapidez podemos reducirlo?
Las cuentas con exceso de permisos actúan como claves maestras: convenientes hasta que se ven comprometidas. El privilegio mínimo debe ser mensurable, no aspiracional. (Hacer un seguimiento: ¿Puede mostrarme las vías de acceso de mayor riesgo y qué podemos eliminar o reforzar en 30 días?)

¿Estamos usando IA para reducir el ruido y acelerar las decisiones o simplemente estamos agregando otra pantalla?
Muchos equipos se están ahogando en alertas. La IA puede ayudar agregando contexto (conectando una identidad riesgosa + una carga de trabajo vulnerable + un secreto expuesto) para que los socorristas puedan actuar rápidamente, en lugar de perseguir advertencias desconectadas. (Hacer un seguimiento: ¿Cuál es nuestro volumen de alertas, qué porcentaje es procesable y cuál es el tiempo de respuesta mejorado?)

¿Puede explicarme un incidente realista de principio a fin, con puntos de decisión?
La prevención importa, pero la resiliencia es lo que separa a las organizaciones cuando algo sucede. Los incidentes son inevitables. Lo que importa es la velocidad de detección, la contención, la recuperación y las comunicaciones. (Hacer un seguimiento: Elija un escenario (robo de credenciales, ransomware, compromiso de proveedores). ¿Qué sucede aquí, quién decide qué y cuándo debe saberlo el liderazgo ejecutivo? ¿Qué necesitan saber los clientes?)

¿Qué hacer con las respuestas?

Si estas preguntas ponen de manifiesto lagunas, el camino a seguir suele ser práctico. Comience por priorizar la visibilidad del tiempo de ejecución en los sistemas que admiten servicios críticos y datos residentes confidenciales. Trate la identidad como una infraestructura: haga un inventario, ajuste los permisos y supervise continuamente. Cambie la medición hacia resultados como el tiempo para detectar, contener y restaurar, en lugar de métricas de actividad como tickets cerrados o controles verificados. Y ensayar la dura jornada tanto con los equipos técnicos como con el liderazgo, incluido el de comunicaciones.

En una era donde las amenazas se mueven a la velocidad de la IA, la ventaja pertenece a los equipos que pueden ver con claridad y actuar de inmediato. La pregunta definitoria ahora es qué tan rápido se puede identificar un riesgo, comprender su impacto y responder antes de que empeore.

Rinki Sethi es directora de seguridad y estrategia de Upwind Security y cuenta con más de dos décadas de experiencia en liderazgo en ciberseguridad en puestos en Twitter, Rubrik, BILL, Palo Alto Networks, IBM y eBay. Es socia fundadora de Lockstep Ventures, forma parte de las juntas directivas de ForgeRock y Vaulttree y es ampliamente reconocida por sus contribuciones a la comunidad de ciberseguridad, incluido el desarrollo del primer plan de estudios nacional de ciberseguridad para las Girl Scouts de EE. UU.

Se ha revelado una vulnerabilidad de seguridad crítica en un entorno limitado basado en Python llamado Terrario eso podría resultar en la ejecución de código arbitrario.

La vulnerabilidad, rastreada como CVE-2026-5752tiene una calificación de 9,3 en el sistema de puntuación CVSS.

«La vulnerabilidad de escape de Sandbox en Terrarium permite la ejecución de código arbitrario con privilegios de root en un proceso host a través del recorrido de la cadena de prototipos de JavaScript», según un descripción de la falla en CVE.org.

Desarrollado por Cohere AI como un proyecto de código abierto, Terrarium es un entorno limitado de Python que se utiliza como contenedor implementado por Docker para ejecutar código no confiable escrito por usuarios o generado con la ayuda de un modelo de lenguaje grande (LLM).

En particular, Terrarium se ejecuta en Pyodide, una distribución de Python para el navegador y Node.js, lo que le permite admitir paquetes estándar de Python. El proyecto ha sido bifurcado 56 veces y protagonizado 312 veces.

Según el Centro de Coordinación CERT (CERT/CC), la causa raíz se relaciona a un recorrido de cadena de prototipo de JavaScript en el entorno Pyodide WebAssembly que permite la ejecución de código con privilegios elevados en el proceso host Node.js.

La explotación exitosa de la vulnerabilidad puede permitir a un atacante salir de los límites del entorno limitado y ejecutar comandos arbitrarios del sistema como root dentro del contenedor.

Además, puede permitir el acceso no autorizado a archivos confidenciales, como «/etc/passwd», llegar a otros servicios en la red del contenedor e incluso posiblemente escapar del contenedor y escalar aún más los privilegios.

Cabe señalar que el ataque requiere acceso local al sistema, pero no requiere ninguna interacción del usuario ni privilegios especiales para explotarlo.

Al investigador de seguridad Jeremy Brown se le atribuye el mérito de descubrir e informar la falla. Dado que el proyecto ya no se mantiene activamente, es poco probable que se solucione la vulnerabilidad.

Como mitigaciones, CERT/CC recomienda a los usuarios que tomen las siguientes medidas:

• De ser posible, deshabilite las funciones que permiten a los usuarios enviar código al entorno sandbox.
• Segmentar la red para limitar la superficie de ataque y evitar el movimiento lateral.
• Implemente un firewall de aplicaciones web para detectar y bloquear el tráfico sospechoso, incluidos los intentos de explotar la vulnerabilidad.
• Supervise la actividad de los contenedores en busca de signos de comportamiento sospechoso.
• Limite el acceso al contenedor y sus recursos únicamente al personal autorizado.
• Utilice una herramienta de orquestación de contenedores segura para administrar y proteger contenedores.
• Asegúrese de que las dependencias estén actualizadas y parcheadas.

«La zona de pruebas no impide adecuadamente el acceso a los prototipos de objetos principales o globales, lo que permite que el código de la zona de pruebas haga referencia y manipule objetos en el entorno anfitrión», SentinelOne dicho. «Este prototipo de técnica de contaminación o transversal pasa por alto los límites de seguridad previstos del sandbox».

Investigadores de ciberseguridad han descubierto una nueva variante de un conocido malware llamado LOTUSLITA que se distribuye a través de un tema relacionado con el sector bancario de la India.

«La puerta trasera se comunica con un servidor dinámico de comando y control basado en DNS a través de HTTPS y admite acceso remoto a shell, operaciones de archivos y administración de sesiones, lo que indica un conjunto de capacidades continuas centradas en el espionaje en lugar de objetivos motivados financieramente», subhajeet Singha y Santiago Pontiroli, investigadores de Acronis. dicho en un análisis.

El uso de LOTUSLITE se observó anteriormente en ataques de phishing dirigidos al gobierno de los EE. UU. y a entidades políticas utilizando señuelos asociados con los acontecimientos geopolíticos entre los EE. UU. y Venezuela. La actividad se atribuyó con un nivel de confianza medio a un grupo de estados-nación chino identificado como Mustang Panda.

La última actividad señalada por Acronis implica la implementación de una versión evolucionada de LOTUSLITE que demuestra «mejoras incrementales» con respecto a su predecesor, lo que indica que sus operadores están manteniendo y refinando activamente el malware.

La desviación de la ola de ataques anterior se relaciona con un pivote geográfico que se centra principalmente en el sector bancario de la India, mientras mantiene el resto del manual operativo prácticamente intacto. El punto de partida del ataque es un archivo HTML compilado (CHM) que incorpora las cargas maliciosas (un ejecutable legítimo y una DLL fraudulenta) junto con una página HTML que contiene una ventana emergente que solicita al usuario que haga clic en «Sí».

Este paso está diseñado para recuperar y ejecutar silenciosamente un malware JavaScript desde un servidor remoto («cosmosmusic[.]com»), cuya responsabilidad principal es extraer y ejecutar el malware contenido dentro del archivo CHM utilizando Carga lateral de DLL. La DLL («dnx.onecore.dll») es una versión actualizada de LOTUSLITE que se comunica con el dominio «editor.gleeze[.]com» para recibir comandos y extraer datos de interés.

Un análisis más detallado de la campaña ha descubierto artefactos similares diseñados para atacar a entidades surcoreanas, específicamente individuos dentro de la comunidad política y diplomática.

«Creemos que el grupo había estado apuntando a ciertas entidades pertenecientes a las comunidades diplomáticas y políticas de Corea del Sur y Estados Unidos, específicamente aquellas involucradas en asuntos de la península de Corea, discusiones políticas de Corea del Norte y diálogos de seguridad del Indo-Pacífico», dijo Acronis.

«Lo que destaca es la ampliación de los objetivos del grupo, desde entidades gubernamentales de EE. UU. con señuelos geopolíticos, hasta el sector bancario de la India a través de implantes integrados con referencias al HDFC Bank y ventanas emergentes disfrazadas de software bancario legítimo, y ahora a círculos políticos de Corea del Sur y EE. UU. a través de la suplantación de una figura prominente en la diplomacia de la península de Corea, entregada a través de cuentas de Gmail falsificadas y puesta en escena de Google Drive».