CISA: la vulnerabilidad 'BlueHammer' de Windows ya la explotan bandas de ransomware

La agencia estadounidense CISA ha alertado de que la vulnerabilidad conocida como BlueHammer en Windows está siendo explotada activamente por grupos de ransomware. El fallo ha sido incorporado al catálogo KEV (Known Exploited Vulnerabilities), lo que obliga a las agencias federales a parchearlo en un plazo determinado y sirve de señal de máxima prioridad para el resto de organizaciones.

El problema

Que una vulnerabilidad pase a estar en KEV significa que ya no es teórica: hay explotación real en curso. En el caso de BlueHammer, los operadores de ransomware la están usando como parte de su cadena de ataque, típicamente para:

  • Escalada de privilegios o ejecución remota que les da control del sistema.
  • Facilitar el movimiento lateral y el despliegue del cifrado a escala.
  • Acelerar el tiempo entre el acceso inicial y el impacto (cifrado y extorsión).

Cuando un grupo de ransomware adopta un exploit fiable, la ventana entre la divulgación y los ataques masivos se acorta drásticamente.

Recomendaciones inmediatas

  • Parchea BlueHammer de inmediato: prioridad máxima al estar en KEV y bajo explotación activa.
  • Si no puedes parchear ya, aplica las mitigaciones publicadas por Microsoft/CISA.
  • Refuerza copias de seguridad offline/inmutables y ensaya la restauración.
  • Vigila señales tempranas de ransomware: creación de cuentas, desactivación de defensas, borrado de shadow copies.

¿Estás cubierto en DefensOps?

DefensOps cubre la cadena completa del ransomware que abusa de vulnerabilidades como BlueHammer:

  • T1210 – Explotación de servicios remotos y T1068 – Escalada por explotación: detección del comportamiento de explotación en el endpoint. Disponible desde Essential.
  • T1486 – Datos cifrados para impacto: reglas nativas que detectan el cifrado masivo y el borrado de copias de sombra, con respuesta activa (aislamiento) para cortar la propagación.

El módulo de vulnerabilidades marca automáticamente los CVE presentes en CISA KEV para que el parcheo se priorice por explotación real.

👉 Consulta los planes de DefensOps y solicita una demo


Fuentes: BleepingComputer