Saltar al contenido
Volver al Blog

noticias · 8 min de lectura

Boletín — agosto 2024

EU AI Act en vigor el 1 de agosto. PKfail expone PKs de prueba en producción. National Public Data confirma 2.9B registros expuestos. Black Hat trae Windows Downdate y CVE-2024-38063 wormable; DEF CON 32 trae AMD Sinkclose. Halliburton fuera por RansomHub.

· Manuel López Pérez · noticias

EU AI Act en vigor el 1 de agosto. PKfail expone PKs de prueba en producción. National Public Data confirma 2.9B registros expuestos. Black Hat trae Windows Downdate y CVE-2024-38063 wormable; DEF CON 32 trae AMD Sinkclose. Halliburton fuera por RansomHub.

Agosto carga con Black Hat y DEF CON: cinco hallazgos importantes de research, dos breaches de magnitud (National Public Data, Halliburton), el AI Act entrando en vigor, y CVE-2024-38063 — la primera RCE wormable IPv6 en Windows desde hace años. Repaso cronológico.

EU AI Act en vigor — 1 de agosto

El Reglamento (UE) 2024/1689 entra en vigor el 1 de agosto, veinte días después de su publicación en DOUE (12 de julio). La aplicación es escalonada: prohibiciones del Art. 5 a 6 meses (febrero 2025), GPAI a 12 (agosto 2025), alto riesgo Anexo III a 24 (agosto 2026), Anexo I a 36 (agosto 2027).

Cubierto en detalle en el post técnico con tabla de obligaciones por sujeto y flowchart de clasificación. Lo operativo para un CISO/DPO empieza ya con inventario y triaje contra Art. 5.

Fuente oficial: https://eur-lex.europa.eu/eli/reg/2024/1689/oj

PKfail — 813 modelos con Platform Key “DO NOT TRUST” en producción

PKfail — 813 modelos con Platform Key "DO NOT TRUST" en producción

25 de julio, eco completo en agosto. Binarly publica el resultado de auditar el firmware de ~900 modelos de 10 vendors: Acer, Aopen, Dell, Formelife, Fujitsu, Gigabyte, HP, Intel, Lenovo y Supermicro. Cientos llevan como Platform Key una clave de prueba de AMI con el subject literal DO NOT TRUST o DO NOT SHIP, cuya parte privada está en GitHub desde 2018–2022.

CVE-2024-8105, VU#455367. El firmware más antiguo afectado data de mayo de 2012; el más reciente, de junio de 2024 — 12 años de exposición.

Cubierto en post extra con verificación manual con efivar y descripción de la cadena de explotación.

Fuente: https://www.binarly.io/blog/pkfail-untrusted-platform-keys-undermine-secure-boot-on-uefi-ecosystem

Sitting Ducks DNS hijacking — Eclypsium e Infoblox

Sitting Ducks DNS hijacking — Eclypsium e Infoblox

30 de julio, eco en agosto. Investigadores de Eclypsium e Infoblox publican Sitting Ducks: técnica de domain hijack que abusa de configuraciones de lame delegation en proveedores DNS que no validan correctamente que quien reclama un dominio es su propietario. Estiman >1 millón de dominios explotables, 30.000+ ya secuestrados desde 2019.

El bug no es de software, es operativo: cuando un dominio delega NS a un proveedor donde no tiene cuenta activa (compró el hosting, lo abandonó, expiró la cuenta), un atacante puede reclamar ese dominio en el proveedor DNS y servir registros para él. No hay zero-day, solo malas defaults.

Lo interesante: actores rusos llevan años explotándolo a baja velocidad para infraestructura de spam, malware delivery y phishing con dominios “legítimos” históricamente. Krebs documenta varios casos.

Fuente: https://eclypsium.com/blog/ducks-now-sitting-dns-internet-infrastructure-insecurity/

National Public Data breach — 2.9B registros

National Public Data breach — 2.9B registros

1 de agosto: Christopher Hofmann presenta una class action en California contra Jerico Pictures Inc, d/b/a National Public Data (NPD), por exfiltración de datos personales no asegurados. El número que circula: 2.9 mil millones de registros con nombre completo, direcciones actuales e históricas, SSN, fecha de nacimiento y teléfono, de ciudadanos US, UK y Canadá.

El compromiso técnico se rastrea a una intrusión iniciada en diciembre de 2023, con exfiltración entre abril y los meses siguientes. El dump empieza a aparecer en foros como Breached vía el actor USDoD, primero con price tag de $3.5M y eventualmente publicado en agosto. Troy Hunt analiza el conjunto y confirma, tras eliminar duplicados, que el número operativo es más bajo que 2.9B — en torno a 272 millones de SSN únicos. Aún así, la magnitud es de las mayores de la década en términos de identity data.

NPD confirma el incidente el 16 de agosto vía notificación. 2 de octubre la empresa entra en Chapter 11. Catorce class actions ya presentadas.

Fuente: análisis Troy Hunt https://www.troyhunt.com/inside-the-3-billion-people-national-public-data-breach/

Black Hat USA 2024 — Windows Downdate (Alon Leviev, SafeBreach)

7 de agosto. Alon Leviev (SafeBreach) presenta Windows Downdate: dos vulnerabilidades (CVE-2024-38202 y CVE-2024-21302) que permiten forzar a un Windows completamente parcheado a regresar a versiones anteriores de DLLs específicas del kernel, reintroduciendo bugs ya corregidos como zero-day operativos.

El abuso es contra el propio mecanismo de Windows Update: el atacante con privilegios suficientes manipula el flujo de trusted installer para que el sistema baje a una versión vulnerable de ci.dll, ntoskrnl.exe u otros componentes core, sin invalidar el estado “completamente parcheado” en winver. El resultado: un sistema que parece al día pero ejecuta código que ya tenía CVE asignado y corregido.

Microsoft acusa el reporte en febrero y asigna los CVEs en agosto, durante Black Hat. La mitigación completa toma meses; en octubre Leviev publica un follow-up sobre la reactivación de vulnerabilidades de Virtualization-Based Security.

Fuente: https://www.safebreach.com/blog/windows-downdate-attacks-quick-share-vulnerability-exploit-threat-coverage/

DEF CON 32 — AMD Sinkclose (CVE-2023-31315)

10 de agosto. Enrique Nissim y Krzysztof Okupski (IOActive) presentan AMD Sinkclose: Universal Ring-2 Privilege Escalation. Es un bug en SMM (System Management Mode) que afecta CPUs AMD EPYC y Ryzen (todas las generaciones de EPYC, Ryzen 3000/4000/5000/7000/8000, Threadripper y embedded) y permite escalada de Ring 0 (kernel) a Ring -2 (SMM).

El abuso: la TClose feature de AMD permite manipular el SMRAM via un mapping ambiguo. Un atacante con kernel ya comprometido modifica el contexto SMM antes de que se aplique el SMM_LOCK, ganando ejecución persistente en SMM, invisible para el OS, los hypervisores y los EDR. Para limpiar el bootkit hace falta acceso físico al chip SPI y un programador externo.

AMD publica advisory el 9 de agosto, CVE-2023-31315, CVSS 7.5. Mitigaciones en EPYC y Ryzen desktop. Ryzen 3000 inicialmente sin parche; AMD revierte la decisión el 21 de agosto y promete update. Procesadores embedded más antiguos no reciben fix.

Fuente: https://www.ioactive.com/event/def-con-talk-amd-sinkclose-universal-ring-2-privilege-escalation/

CVE-2024-38063 — TCP/IP IPv6 wormable RCE en Windows

13 de agosto, Patch Tuesday. Microsoft publica el parche de CVE-2024-38063, RCE en el stack TCP/IP de Windows en el procesamiento de paquetes IPv6. CVSS 9.8, zero-click, wormable — un atacante remoto envía un paquete IPv6 crafted, el kernel parser de extension headers cae en un integer underflow, y se ejecuta código sin interacción de usuario, sin autenticación.

Afecta a Windows 10, Windows 11 y Windows Server desde 2008 hasta 2022, en cualquier sistema con IPv6 habilitado — el default. Marcus Hutchins publica análisis técnico y PoC en su blog con root cause detallado y prueba de concepto controlada. La workaround inmediata para sistemas no parcheables: netsh interface ipv6 disable, con el cost de perder conectividad IPv6.

Microsoft cataloga el bug como “Exploitation More Likely”. Hasta donde sabemos al cerrar el mes, no hay reportes confirmados de explotación masiva in the wild — el exploit es operativamente complejo a pesar del CVSS. Pero el exploit existe; este va a estar en la mesa los próximos meses.

Fuente: https://malwaretech.com/2024/08/exploiting-CVE-2024-38063.html · NVD: https://nvd.nist.gov/vuln/detail/cve-2024-38063

Halliburton — ransomware RansomHub, $35M de impacto

Halliburton — ransomware RansomHub, $35M de impacto

21 de agosto. Halliburton (oil services, ingresos ~$23B) reporta a la SEC un acceso no autorizado a sus sistemas. El 23 de agosto confirma vía 8-K que hubo exfiltración de datos. RansomHub reivindica días después. Halliburton apaga parte de su infraestructura IT en respuesta, con impacto operativo limitado pero medible.

En el reporte trimestral siguiente, el CEO Jeff Miller cuantifica: $35 millones de impacto en ingresos perdidos o diferidos durante el quarter. El alcance exacto de los datos exfiltrados sigue bajo investigación al cierre del mes.

RansomHub es una de las operaciones RaaS más activas de 2024 — formada con afiliados ex-BlackCat tras Operation Cronos. CISA publica advisory específico sobre el grupo a final de mes.

Fuente: https://www.bleepingcomputer.com/news/security/halliburton-reports-35-million-loss-after-ransomware-attack/

DEF CON 32 AI Village — Generative Red Team 2, AIxCC semifinal

9–11 de agosto. AI Village en DEF CON 32 con tres líneas principales:

  • Generative Red Team 2: continuación del ejercicio público de red-teaming contra modelos comerciales. Foco esta edición: disclosure mechanisms para vulnerabilidades de modelo. Lecciones para los frameworks de AI safety de los principales vendors.
  • AIxCC Semifinal (DARPA AI Cyber Challenge): casi 40 Cyber Reasoning Systems compiten en encontrar y parchear vulns en proyectos open-source críticos. Una versión AI-native del CGC de 2016.
  • CoSAI panel sobre Securing the Future of AI — coalición liderada por Google.

Fuente: https://aivillage.org/events/defcon32/

Resto del mes

  • ADT confirma breach con 30.800 registros de clientes (emails, direcciones, productos) publicados por netnsher en foro hacking. Sin compromiso de sistemas de seguridad física o datos bancarios.
  • Microsoft Patch Tuesday 13-ago trae varios zero-days adicionales además del CVE-2024-38063: CVE-2024-38193 (AFD.sys, Lazarus), CVE-2024-38106 (Windows Kernel), CVE-2024-38107 (Power Dependency Coordinator).
  • CrowdStrike publica el Root Cause Analysis del incidente del 19 de julio: parser de Channel File 291 con template type esperando 21 campos cuando el binary entrega 20. Cubierto en boletín de julio.
  • Iran-linked APT42 activo en influence operations contra la campaña electoral US — Microsoft Threat Intelligence publica reporte.
  • Schlatter Industries (suizo, maquinaria industrial) sufre ciberataque con interrupción de producción.
  • NotEnoughTime / TPM 2.0 discussion en X tras research sobre vulnerabilities persistentes en ciertas implementaciones.

Patrón del mes

Agosto cristaliza dos cosas que se llevaban anunciando. Una: el firmware como zona operativa de research vuelve con fuerza tras varios años de foundational software en el foco. PKfail y Sinkclose tienen la misma forma estructural — la cadena de confianza de bajo nivel está peor de lo que se asume, y el supply chain del firmware/CPU no tiene auditoría externa sistemática. El attacker no necesita zero-day cuando la PK pública es “DO NOT TRUST”; no necesita exploit cuando el SMRAM lo deja libre a Ring -2.

Dos: el AI Act entra en vigor con un calendario que va a marcar las roadmaps de foundation models en Europa hasta 2027. La pregunta para los próximos meses no es si la regulación aplica (aplica, en fechas concretas), sino qué prácticas hoy normalizadas en GPAI se van a tener que cambiar antes de agosto de 2025. Adversarial testing documentado y serious incident reporting son los dos que más impacto operativo tienen.

Septiembre llega con OpenAI o1 anunciado para el 12, y todo el peso de Salt Typhoon empezando a destaparse. Nos vemos.

Share:
Volver al Blog

Posts Relacionados

Ver Todos los Posts »
Boletín — agosto 2025

noticias · 12 min

Boletín — agosto 2025

AI Act GPAI en aplicación con 26 firmantes y Meta fuera. Trump publica el AI Action Plan. Black Hat y DEF CON copan la primera semana — AgentFlayer expone zero-click en agentes enterprise, ATLANTIS gana AIxCC con 18 zero-days reales parcheados. WinRAR CVE-2025-8088 explotado por ocho grupos. Exchange hybrid CVE-2025-53786 con ED 25-02. Salt Typhoon: aviso 13 países.

· Manuel López Pérez

Boletín — mayo 2026

noticias · 15 min

Boletín — mayo 2026

El Digital Omnibus cierra acuerdo provisional el 7 de mayo: Anexo III se mueve a diciembre de 2027. España aprueba su Ley de gobernanza de IA el 26 de mayo. Pwn2Own Berlin reparte 1,3 M$ por 47 zero-days con Codex y Claude Code en el menú. Patch Tuesday sin un solo zero-day por primera vez desde junio de 2024. OpenAI lanza Daybreak y Anthropic mueve Mythos hacia GA. Verizon DBIR 2026 corona la explotación de vulnerabilidades como vector número uno. GitHub pierde 3.800 repos internos por una extensión de VS Code.

· Manuel López Pérez

Boletín — abril 2026

noticias · 14 min

Boletín — abril 2026

El trílogo del Omnibus cierra sin acuerdo el 28 de abril, dejando el deadline AI Act original a tres meses. Patch Tuesday 165 CVEs y SharePoint zero-day activa. Anthropic anuncia Claude Mythos + Project Glasswing — primer frontier model que se queda detrás de un muro defensivo. Pwn2Own Berlin colapsa por sobrecupo. M&S un año después. AESIA publica las guías 13 y 14.

· Manuel López Pérez