Autor: Seguridad CSIRT-CV

Se ha descubierto una vulnerabilidad crítica en el instalador de Notepad++ versión 8.8.1, publicada el 5 de mayo de 2025, que permite a atacantes locales escalar privilegios hasta obtener control completo del sistema. 

Esta falla, identificada como CVE-2025-49144, se basa en una técnica conocida como binary planting, con una prueba de concepto (PoC) disponible públicamente, lo que incrementa su gravedad y riesgo de explotación masiva.

Análisis

La vulnerabilidad radica en una ruta de búsqueda de ejecutables no controlada dentro del instalador de Notepad++. Durante la ejecución del instalador, se buscan dependencias ejecutables en el directorio actual de trabajo, sin verificar adecuadamente su autenticidad o procedencia. Este comportamiento permite que un atacante coloque archivos maliciosos, como una versión comprometida de regsvr32.exe, en el mismo directorio que el instalador.

Al ejecutar el instalador, el sistema cargará automáticamente estos binarios maliciosos con privilegios de SISTEMA, otorgando al atacante control total sobre el equipo. Este tipo de ataque es posible gracias al orden de búsqueda de DLL por defecto en sistemas Windows y requiere una interacción mínima por parte del usuario, lo que facilita su ejecución exitosa.

La prueba de concepto publicada demuestra de forma clara el proceso de explotación mediante registros de Process Monitor y evidencia en video, alertando sobre el potencial de abuso a gran escala.

Recursos afectados

• • Versión vulnerable: 8.8.1

Recomendaciones

• • Actualizar a Notepad++ versión 8.8.2.

Referencias

• • • https://cybersecuritynews.com/notepad-vulnerability/#google_vignette
    • https://notepad-plus-plus.org/
    • https://github.com/notepad-plus-plus/notepad-plus-plus/security/advisories/GHSA-9vx8-v79m-6m24
    • 
      

Una masiva filtración de datos ha puesto en riesgo la seguridad de millones de usuarios de grandes plataformas tecnológicas, según ha informado el medio Website Planet. Investigadores de seguridad han descubierto un repositorio que contiene cerca de 16.000 millones de credenciales robadas, afectando a cuentas de servicios tan populares como Apple, Google, Facebook, Microsoft y Amazon, entre muchos otros.

El hallazgo forma parte de un informe conjunto de Website Planet y el equipo de ciberinteligencia de Cybernews. La base de datos filtrada fue recopilada a lo largo de varios años a través de malware del tipo infostealer, utilizado por ciberdelincuentes para extraer credenciales directamente de navegadores, aplicaciones y sistemas operativos infectados. De los registros comprometidos, al menos 1.200 millones de credenciales siguen siendo válidas y utilizables, lo que representa un riesgo significativo para la seguridad de los usuarios.

Lo más preocupante del incidente es que estos datos pueden estar disponibles en foros clandestinos frecuentados por actores maliciosos, pese a que de momento no se tiene noticias de su publicación o venta en ningún foro. Algunas de las plataformas afectadas incluyen servicios muy utilizados como Gmail, Facebook, Outlook, PayPal, Netflix y hasta aplicaciones bancarias, lo que podría derivar en una oleada de accesos no autorizados, fraudes financieros y robo de identidad si los usuarios no cambian sus contraseñas de inmediato.

Además de nombres de usuario y contraseñas, también se ha expuesto otra información sensible como direcciones IP, cookies de sesión, datos del sistema y tokens de acceso. Esta combinación puede permitir ataques de toma de cuenta (account takeover) incluso sin necesidad de las credenciales en texto claro, complicando aún más la situación.

Los expertos recomiendan cambiar de forma urgente las contraseñas de todas las cuentas, especialmente si se repiten entre distintos servicios. También aconsejan activar la autenticación en dos pasos (2FA) siempre que sea posible y utilizar gestores de contraseñas para mantener contraseñas únicas y robustas en cada plataforma.

El informe también destaca que los datos filtrados se obtuvieron a lo largo de años mediante más de 100 tipos distintos de malware infostealer, entre ellos RedLine, Raccoon y Azorult, que siguen siendo altamente activos en campañas de phishing y distribución de software malicioso.

Ante el volumen y la sensibilidad de los datos comprometidos, este incidente podría convertirse en uno de los mayores de la historia en términos de cuentas personales expuestas. La recomendación es clara: si crees que tu información podría estar entre los datos robados, cambia tus contraseñas cuanto antes y mantente alerta ante cualquier actividad sospechosa en tus cuentas.

Referencias

• • • https://www.websiteplanet.com/news/infostealer-breach-report/
    • https://itc.ua/en/news/it-s-time-to-change-your-passwords-184-million-apple-google-microsoft-etc-accounts-leaked-to-the-internet/
    • https://itc.ua/en/news/change-your-passwords-immediately-16-billion-accounts-of-apple-google-facebook-and-others-have-been-hacked/
    • https://www.forbes.com/sites/daveywinder/2025/06/19/16-billion-apple-facebook-google-passwords-leaked—change-yours-now/

CVE-2025-32711, también conocida como EchoLeak, se origina en cómo Microsoft 365 Copilot procesa contenido a través de su sistema RAG (Recuperación Aumentada por Generación). Un atacante puede ocultar instrucciones en texto aparentemente inofensivo, como Markdown en un correo electrónico, que al ser indexado por Copilot, causa que este filtre información sensible al atacante. Esto ocurre sin que el usuario haga clic o interactúe.

Análisis

EchoLeak es una vulnerabilidad de ejecución de comandos AI sin necesidad de acción por parte del usuario (“zero‑click”) que afecta a Microsoft 365 Copilot. Permite la exfiltración de datos sensibles del contexto interno de Copilot sin que el usuario haga clic ni interactúe. Se trata de una violación de alcance en LLM (LLM Scope Violation), un tipo de inyección indirecta de prompt: Copilot no distingue adecuadamente entre contenido confiable y no confiable, permitiendo que el RAG mezcle contenidos externos no procesados con contexto interno seguro.

Recursos afectados

• • Microsoft 365 Copilot en su configuración basada en la nube.

Recomendaciones

Implementar la autenticación en los servidores MCP y validar el encabezado «Origin» en todas las conexiones entrantes al servidor MCP para garantizar que las solicitudes provengan de fuentes confiables.

Referencias

• • https://thehackernews.com/2025/06/zero-click-ai-vulnerability-exposes.html
  • https://www.aim.security/lp/aim-labs-echoleak-m365

 

Google y Mozilla han lanzado parches que corrigen cuatro errores de memoria de alta gravedad en Chrome y Firefox.

Análisis

Google Chrome 137

• • CVE-2025-5958: Vulnerabilidad de tipo use-after-free en el componente Media. Puede ser aprovechada para ejecutar código arbitrario o causar corrupción de memoria.
  • CVE-2025-5959: Vulnerabilidad de confusión de tipo en el motor V8 de JavaScript. Podría permitir la ejecución remota de código o filtración de información sensible. Google aún no ha determinado la recompensa correspondiente.

Mozilla Firefox 139

• • CVE-2025-49709: Error de corrupción de memoria en el componente Canvas Surfaces. Puede ser explotado para ejecutar código no autorizado o provocar caídas del navegador.
  • CVE-2025-49710: Desbordamiento de entero en la estructura OrderedHashTable utilizada por el motor JavaScript. Este fallo podría facilitar la ejecución de código malicioso o la fuga de información.

Mozilla también lanzó nuevas actualizaciones para Thunderbird para corregir un defecto de seguridad de alta gravedad que podría llevar a descargas de archivos no solicitados, lo que haría que los discos de los usuarios se llenaran con datos basura en Linux, o a una fuga de credenciales a través de enlaces SMB en Windows.
Si bien se requiere la interacción del usuario para descargar el archivo .pdf, la ofuscación visual puede ocultar el desencadenador de la descarga. Ver el correo electrónico en modo HTML es suficiente para cargar contenido externo.
Esta vulnerabilidad se ha identificado como CVE-2025-5986.

Recursos afectados

• • Google Chrome: Versiones anteriores a 137.0.7151.103/.104 para Windows y macOS, y anteriores a 137.0.7151.103 para Linux.
  • Mozilla Firefox: En versiones anteriores a 139.0.4.
  • Mozilla Thunderbird : En versiones anteriores a Thunderbird 139.0.2 y Thunderbird 128.11.1.

Recomendaciones

Se recomienda a los usuarios que actualicen sus navegadores y clientes de correo lo antes posible, aunque Google y Mozilla no mencionan ninguna de estas vulnerabilidades que puedan ser explotadas en ataques:

• • Google Chrome: Versiones 137.0.7151.103/.104 para Windows y macOS, y 137.0.7151.103 para Linux.
  • Mozilla Firefox: Versión 139.0.4.
  • Thunderbird 139.0.2 y Thunderbird 128.11.1.

Referencias

• • https://www.securityweek.com/chrome-firefox-updates-resolve-high-severity-memory-bugs/