Microsoft alerta AitM y BEC, GNU InetUtils telnetd expone acceso root, Osiris ransomware ejecuta BYOVD con POORTRY
Resumen del día
Microsoft detectó campañas AitM y BEC multietapa que abusan de SharePoint para comprometer identidades empresariales del sector energético.
GNU InetUtils telnetd reveló una falla crítica que permite bypass de autenticación y acceso root remoto mediante manipulación de variables de entorno.
El nuevo ransomware Osiris emplea el driver malicioso POORTRY en ataques BYOVD para desactivar seguridad y ejecutar cifrado y extorsión.
Microsoft advirtió sobre una campaña avanzada de phishing Adversary-in-the-Middle (AitM) combinada con ataques BEC (Business Email Compromise), orientada específicamente a empresas del sector energético. La operación se caracteriza por su enfoque multietapa, el uso de servicios legítimos para evadir controles y una persistencia sigilosa mediante reglas de bandeja de entrada.La campaña aprovecha plataformas ampliamente utilizadas —como SharePoint— para distribuir cargas maliciosas y escalar el alcance a partir de identidades internas comprometidas, enviando miles de correos de phishing tanto internos como externos.Mecánica del ataqueEl ataque comienza con correos de phishing enviados desde cuentas legítimas previamente comprometidas, pertenecientes a organizaciones confiables....
Una vulnerabilidad crítica fue revelada en el daemon telnetd de GNU InetUtils que permaneció sin detectar durante casi 11 años. La falla permite a atacantes remotos evadir el proceso de autenticación y obtener acceso root en sistemas vulnerables.La vulnerabilidad está registrada como CVE-2026-24061 y recibió una puntuación CVSS de 9.8/10, reflejando su severidad crítica. Afecta a todas las versiones de GNU InetUtils desde la 1.9.3 hasta la 2.7 inclusive.Detalles técnicos de la vulnerabilidadSegún la descripción publicada en la NIST National Vulnerability Database, el problema radica en que telnetd no sanitiza correctamente la variable de entorno USER antes de pasarla al binario /usr/bin/login, el cual se ejecuta con privilegios de root.El flujo vulnerable funciona de la...
Investigadores de ciberseguridad revelaron la aparición de Osiris, una nueva familia de ransomware detectada tras un ataque dirigido contra un operador de franquicias de servicios alimentarios en el Sudeste Asiático en noviembre de 2025. La operación se distingue por el uso de un driver malicioso denominado POORTRY, empleado en una técnica conocida como Bring Your Own Vulnerable Driver (BYOVD) para desactivar soluciones de seguridad.El análisis fue publicado por el equipo de Symantec y Carbon Black, ambos bajo el paraguas de Broadcom.Osiris: una cepa nueva, sin relación con LockyPese a compartir nombre, Osiris no guarda relación con el ransomware del mismo nombre observado en 2016 como variante de Locky. De acuerdo con los investigadores, se trata de una cepa completamente nueva,...
