Boletín — julio 2025

Julio cabe en dos hilos. El cyber se centra en SharePoint: el 8 Microsoft parchea las CVE-2025-49706/49704 (cadena ToolShell de Pwn2Own); el 17–18 los atacantes encuentran que el parche se salta y CVE-2025-53770/53771 entran a escala; el 19 Microsoft publica el advisory OOB y CISA añade a KEV el 20. El 22 Microsoft atribuye a Linen Typhoon, Violet Typhoon y Storm-2603. El AI asienta seis meses de jailbreaks contra reasoning models — desde DeepSeek-R1 en enero hasta Claude 4 con extended thinking en mayo, pasando por o3 y QwQ. Y, en background, el 19 de julio cumple un año desde Channel File 291 de CrowdStrike; Microsoft empuja la Windows Resiliency Initiative y CrowdStrike publica su nota retrospectiva. Cierra el mes Citrix con un Bleed 2 a finales de junio que durante julio se ve explotado, M&S declarando entre 270 y 440 millones de libras de impacto, y Patch Tuesday con 137 CVEs y un zero-day en SQL Server.

ToolShell — SharePoint on-prem reabierto dos veces

Cronología del mes:

• 8 jul (Patch Tuesday): Microsoft parchea CVE-2025-49706 (auth bypass por cabecera Referer) y CVE-2025-49704 (deserialización en ToolPane.aspx). La cadena venía de Pwn2Own Berlin (mayo), donde Code White GmbH la había demostrado.
• 17–18 jul: Atacantes encuentran que el parche del 8 se bypassa con trailing slash en el path y con un wrapper deserializable no incluido en la blacklist. Eye Security detecta primera ola masiva el 18 a las 18:06 UTC.
• 19 jul: Microsoft publica advisory OOB con CVE-2025-53770 (CVSS 9.8) y parche para Subscription Edition.
• 20 jul: CVE-2025-53771 (CVSS 6.5) añadida. Parche para SharePoint 2019. CISA mete 53770 en KEV.
• 22 jul: Microsoft publica atribución: Linen Typhoon (APT27), Violet Typhoon (APT31), Storm-2603. Este último despliega ransomware Warlock sobre los servidores comprometidos.
• 23 jul: Parche para SharePoint Server 2016.

La pieza estructural — y la que se va a citar todo H2 — es el web shell del kit, spinstall0.aspx. No es shell: es extractor de MachineKeys. Roba ValidationKey y DecryptionKey del IIS para que el atacante pueda forjar __VIEWSTATE válidos después del patch. La persistencia sobrevive a la actualización si no rotas claves.

Eye Security escanea 23 000+ SharePoint públicos en las primeras 48 horas y confirma 400+ comprometidos. Cifras posteriores de Unit 42 y Trustwave elevan el conteo. Defensores afectados: la Administración estadounidense (varias agencias), entes regionales en Europa, varias universidades, y sectores financiero y energético en Asia-Pacífico — los inventarios on-prem que mantienen SharePoint expuesto a internet con auth pre-Entra ID.

Hemos publicado el análisis técnico completo con la cadena reproducida en lab, el bug en PostAuthenticateRequestHandler, el web shell spinstall0.aspx con su código C# inline, y el flujo de ysoserial.net para forjar ViewState con las MachineKeys robadas.

Fuente: https://msrc.microsoft.com/blog/2025/07/customer-guidance-for-sharepoint-vulnerability-cve-2025-53770/

CitrixBleed 2 — CVE-2025-5777 sigue explotándose

El 17 de junio Citrix publicó CVE-2025-5777 (CVSS 9.3, out-of-bounds memory read en NetScaler ADC y Gateway). Kevin Beaumont bautiza el bug como CitrixBleed 2 por simetría con el CVE-2023-4966 del año pasado: mismo vendor, misma clase (information disclosure por mal parsing de input HTTP), misma consecuencia (leak de memoria que contiene tokens de sesión activos).

La diferencia con Bleed 1: el trigger es enviar un POST a /p/u/doAuthentication.do con el parámetro login presente pero sin valor. NetScaler lee memoria sin inicializar para construir la respuesta XML, y esa memoria contiene fragmentos de otras sesiones — incluidos NSC_AAAC cookies de usuarios autenticados.

Durante julio CISA añade a KEV el 10. Telemetría de Imperva y GreyNoise reporta 11.5 millones de intentos de explotación en pocas semanas. La explotación masiva empezó dentro de la ventana del parche. El patrón Bleed 1 se repite paso a paso: parche disponible → window de explotación → confirmación de víctimas con sesiones robadas. La mitigación es la misma — parchear + terminar todas las sesiones activas (kill aaa session -all) + auditar logs anómalos.

Versiones afectadas: NetScaler ADC y Gateway 14.1 antes de 47.46, 13.1 antes de 59.19. Las 12.1 y 13.0 están EOL y siguen vulnerables sin parche oficial.

Fuente: https://support.citrix.com/support-home/kbsearch/article?articleNumber=CTX693420

Patch Tuesday julio — 137 CVE y un zero-day en SQL Server

8 de julio. Microsoft cierra 137 vulnerabilidades, 14 críticas. El zero-day del mes es CVE-2025-49719 (information disclosure en SQL Server y drivers OLE DB): manejo incorrecto de memoria que expone datos sin inicializar — incluyendo credenciales y connection strings en memoria del proceso. Microsoft lo cataloga como publicly disclosed, no exploited, lo que en CVSS-ese significa que hay PoC en circulación.

Los otros bugs notables del mes:

• CVE-2025-47981 (CVSS 9.8): heap overflow en SPNEGO Extended Negotiation. RCE pre-auth sin interacción de usuario; wormable en teoría sobre Windows expuestos.
• CVE-2025-49695 / 49696 / 49697 / 49702: cuatro RCE en Microsoft Office, todos disparables vía Preview Pane (atacante envía documento, basta vista previa en Outlook).
• CVE-2025-49717: segunda en SQL Server, esta vez ejecución de código en el motor con escalada a host OS. Relevante en environments que mantienen SQL Server en VLAN compartida con app servers.

Sin zero-days activamente explotados, lo cual es raro en un Patch Tuesday de julio. La pieza que va a quedar en logs SIEM durante meses es CVE-2025-49706 / 49704 — Microsoft parchea sin grandes alertas la cadena ToolShell que se va a explotar dos semanas después. Retrospectivamente para muchos defensores julio se cuenta como dos Patch Tuesday: el del 8 y el OOB del 19.

Fuente: https://msrc.microsoft.com/update-guide/releaseNote/2025-Jul

Reasoning model jailbreaks — retrospectiva H1

A junio de 2025 hay cinco familias de reasoning models públicas: o1 / o3 (OpenAI), Claude 4 con extended thinking (Anthropic), DeepSeek-R1 + R1-Distill, QwQ-32B (Alibaba) y Gemini 2.5 con thinking (Google). Seis meses después del primero, DeepSeek-R1 en enero, el campo ha consolidado cinco técnicas que rompen estos modelos:

• CoT exfiltration trivial en open-weights (R1, R1-Distill, QwQ) — el <think> block es texto plano accesible.
• CoT prefill / poisoning en open-weights — el atacante prefilla el assistant turn con razonamiento adversarial.
• CoT hijacking (Anthropic + Oxford + Stanford, paper H1 2025) — esconder el prompt dañino en una secuencia larga de pasos benignos; success rate sube de 27 % a 80 %+ en o3, Claude 4, Gemini 2.5.
• Bypass de filtro político específico de R1 — cambio de idioma, prompt indirection. El alignment principal de R1 resiste; el filtro de censura encima es frágil.
• Multi-turn manipulation — distribuir el ataque en 5–8 turnos. Funciona especialmente bien contra Claude 4 con extended thinking porque el razonamiento integra todo el historial.

Defensas que han funcionado parcialmente: Constitutional Classifiers v2 (Anthropic, feb 2025; redujeron success rate de 86 % a 4.4 % en su benchmark interno), deliberative alignment (OpenAI, paper dic 2024), CoT obfuscation como decisión de producto (no mostrar la raw chain al usuario), y robust safety training (DeepMind, H1 2025).

El campo ha consolidado dos certezas operativas: (1) los benchmarks viejos (AdvBench, StrongREJECT v1, HarmBench v1) saturan y ya no discriminan modelos bien alineados; (2) la asimetría entre quien ve la CoT (el vendor) y quien responde por el deployment (el operador) sigue siendo estructural en modelos cerrados.

Hemos publicado la retrospectiva completa con tabla “técnica → success rate por modelo”, el detalle de constitutional classifiers v2, y las implicaciones para deployment H2 2025.

Fuente: https://www.anthropic.com/research/constitutional-classifiers

CrowdStrike Falcon — un año después del Channel File 291

19 de julio de 2024, 04:09 UTC: Channel File 291 empuja una configuración con field count desajustado y 8.5 millones de Windows entran en BSOD. 19 de julio de 2025: CrowdStrike publica una nota retrospectiva — One Year Later: Reflecting on Building Resilience by Design — y Microsoft hace su contraparte sobre la Windows Resiliency Initiative.

Lo que se ha aplicado, según las dos compañías:

• Falcon Super Lab (CrowdStrike): infraestructura de testing con miles de combinaciones OS/kernel/hardware antes de publicar Rapid Response Content. La pieza que faltaba en julio 2024.
• Customer profile testing (CrowdStrike): validación de contenido contra perfiles concretos de cliente antes de despliegue masivo. Staged rollout efectivo.
• Chief Resilience Officer (CrowdStrike): nuevo executive role reportando directo al CEO. Anuncio en mayo 2025.
• Sensor en user space, no kernel (Microsoft): Windows Resiliency Initiative incluye API de eBPF-style para que vendors EDR muevan parte del sensor fuera del kernel mode. Beta empezada en marzo 2025 con CrowdStrike, SentinelOne, Sophos, Bitdefender y Trend Micro. ETA producción Q4 2025.

Lo que no se ha aplicado: la cláusula contractual estándar de staged rollout obligatorio que las pólizas de ciber prometían en agosto 2024. La industria sigue empujando definitions y updates a parques completos sin opción de cliente. La Resiliency Initiative cambia la arquitectura del sensor; no cambia el modelo de despliegue de contenido.

Hemos publicado el análisis técnico del incidente con el parser reproducido en C, el RCA del 6 de agosto y el patrón de despliegue cuestionado.

Fuente: https://www.crowdstrike.com/en-us/blog/reflecting-on-building-resilience-by-design/

M&S y Co-op — postmortems con números

A finales de junio el Cyber Monitoring Centre (CMC) del Reino Unido clasifica los ataques contra Marks & Spencer, Co-op y el intento contra Harrods como “Category 2 cyber hurricane” — el segundo nivel más alto en la escala que el CMC publica desde 2024. Es la primera vez que la categoría se asigna a un cluster de incidentes single-actor (Scattered Spider / DragonForce vía social engineering al helpdesk).

Las cifras que se van consolidando durante julio:

• M&S: impacto financiero declarado 270 a 440 millones de libras (363–592 millones de USD). El reclamo a la aseguradora (Allianz como lead underwriter, con Beazley en exceso) podría llegar a 100 millones de libras — una de las claims cyber más grandes del mercado UK. Disrupción operativa de seis semanas en e-commerce; logística y stock recuperados a mid-mayo.
• Co-op: cifra exacta sin publicar pero impacto similar en escala. Sistemas POS y back-office afectados durante tres semanas.
• Harrods: contiene el intento. Sin impacto reportado.

Class actions empiezan a moverse en julio. Consumer rights groups (Joint The Claim, KPL Solicitors) abren registro de damnificados; las primeras demandas civiles se esperan en Q4. Lo regulatorio queda pendiente — el ICO mantiene investigación abierta sobre los dos retailers.

Hemos cubierto el vector original en el boletín de abril. La lección sigue siendo la misma: identity verification de tier-1 helpdesk no escala con plantillas de outsourcing. Los controles compensatorios (verificación por canal alternativo, time-delay para resets privilegiados, checkpoint a manager) son los mismos que llevamos diciendo desde MGM 2023, ahora con la prueba de que el coste de no aplicarlos cabe en la cuenta P&L.

Fuente: https://www.computerweekly.com/news/366626336/MS-Co-op-attacks-a-Category-2-cyber-hurricane-say-UK-experts

Resto del mes

• VMware ESXi — VMware publica advisory por CVE-2025-22224 y CVE-2025-22225 explotadas como zero-day desde Q2. Combinación de heap overflow en VMCI + arbitrary write a kernel = escape de VM a host. Broadcom emite parches y CISA añade a KEV.
• Google Chrome — Google parchea CVE-2025-6554 (type confusion en V8) que ya estaba siendo explotada en wild. Cuarta zero-day del año en Chrome.
• Cisco ISE — CVE-2025-20281 y CVE-2025-20282 (RCE pre-auth en Identity Services Engine, CVSS 10.0 y 10.0). Cisco PSIRT publica parches; Censys cuenta ~750 ISE expuestos a internet pre-advisory.
• Anthropic — Claude para Education (mid-jul): integración con OpenAthens para SSO, audit trail por sesión, retention controls configurables. Movimiento para captar mercado universitario europeo bajo presión AI Act.
• OpenAI — Operator GA sale del beta de enero a disponibilidad general el 11 de julio. Misma agentic API, controles ampliados para enterprise: action allowlists, human-in-the-loop por defecto en categorías sensibles, logs estructurados que incluyen el reasoning summary.

Patrón transversal

Si julio tiene un hilo, es la cadena que el atacante mantiene cuando parcheas y no rotas el estado. ToolShell roba MachineKeys, parcheas, y sigues comprometido por ViewState forjado. Citrix Bleed 2 leakea sesiones, parcheas, y los tokens previamente robados siguen activos hasta kill aaa session -all. La pieza estructural detrás de los dos incidentes es la misma: el patch cierra la puerta por donde entró el atacante; no rotar el estado deja la copia de la llave que el atacante ya tenía. Es la lección que llevamos repitiendo desde Citrix Bleed 1 en 2023, desde Storm-0558 en julio del 23, desde Snowflake en 2024. Cada año un caso nuevo confirma lo mismo y cada año una porción del campo aprende.

Para H2 2025 el calendario está marcado. El 2 de agosto entra en aplicación la segunda capa del AI Act — obligaciones GPAI. El siguiente Patch Tuesday cierra los huecos pendientes de SharePoint y SQL Server. Black Hat 33 + DEF CON 33 (4-10 ago) traen presentaciones sobre ToolShell, MCP poisoning post-spec update, y la final del DARPA AIxCC. La pregunta para septiembre — qué hace Apple con iOS 19 y qué saca OpenAI si el rumor de GPT-5 se confirma — empezará a contestarse pronto. Nos vemos en agosto con el técnico del AI Act GPAI y el extra de AIxCC desde Las Vegas.