Se ha revelado una falla de seguridad de alta severidad en la plataforma de ServiceNow que, si se explotan con éxito, podría dar lugar a la exposición y exfiltración de datos. La vulnerabilidad, rastreada como CVE-2025-3648 (puntaje CVSS: 8.2), se ha descrito como un caso de inferencia de datos en la plataforma ahora a través de reglas de la lista de control de acceso condicional (ACL). Ha sido llamado Codennam Count (ER) Strike. «Se ha identificado una vulnerabilidad en la plataforma ahora que podría resultar en que los datos se infieran sin autorización», dijo ServiceNow en un boletín. «Bajo ciertas configuraciones de la Lista de control de acceso condicional (ACL), esta vulnerabilidad podría permitir a los usuarios no autenticados y autenticados para usar solicitudes de consulta de rango para inferir datos de instancias que no se pretende ser accesibles para ellos». La compañía de ciberseguridad Varonis, que descubrió e informó la falla en febrero de 2024, dijo que los actores maliciosos podrían haber explotado para obtener acceso no autorizado a información confidencial, incluida la información de identificación personal (PII) y las credenciales. En esencia, la deficiencia impacta el elemento UI de recuento de registros en las páginas de la lista, que podrían abusar trivialmente para inferir y exponer datos confidenciales de varias tablas dentro de ServiceNow. «Esta vulnerabilidad podría haber afectado potencialmente a todas las instancias de ServiceNow, afectando a cientos de tablas», dijo el investigador de Varonis Neta Armon en un análisis del miércoles. «Lo más preocupante, esta vulnerabilidad fue relativamente simple de explotar y solo requería un acceso mínimo de tabla, como una cuenta de usuario débil dentro de la instancia o incluso un usuario anónimo autorregistrado, lo que podría evitar la necesidad de elevación de privilegios y provocar una exposición de datos confidenciales». Específicamente, la compañía descubrió que el acceso a las tablas ServiceNow, aunque se rige por las configuraciones de ACL, podría usarse para obtener información, incluso en escenarios en los que se niega el acceso debido a una «condición de datos» fallida o «condición de script», lo que permite proporcionar acceso condicionalmente basado en una evaluación de ciertos criterios relacionados con datos o lógica personalizada. En estos casos, los usuarios se muestran un mensaje, indicando «número de filas eliminadas de esta lista por restricciones de seguridad» junto con el recuento. Sin embargo, cuando el acceso a un recurso se bloquea debido a «roles requeridos» o «condición de atributo de seguridad», los usuarios se muestran una página en blanco con el mensaje «Las restricciones de seguridad impiden el acceso a la página solicitada». Vale la pena mencionar que las cuatro condiciones de ACL se evalúan en un orden particular, comenzando con roles, seguidos de atributos de seguridad, condición de datos y, por último, condición de script. Para que un usuario obtenga acceso a un recurso, todas estas condiciones deben estar satisfechas. Cualquier condición que quede vacía se considera que no tiene ningún tipo de restricción. El hecho de que las respuestas sean diferentes en función de las cuatro condiciones de ACL abre una nueva vía de ataque que un actor de amenaza puede explotar para determinar qué condiciones de acceso no están satisfechas, y luego consultar repetidamente la tabla de la base de datos para enumerar la información deseada utilizando una combinación de parámetros de consulta y filtros. Las tablas protegidas solo por una condición de datos o script son susceptibles al ataque de inferencia. «Cualquier usuario en una instancia puede explotar esta vulnerabilidad, incluso aquellos con privilegios mínimos y sin roles asignados, siempre que tengan acceso a al menos una mesa mal configurada», dijo Armon. «Esta vulnerabilidad se aplica a cualquier tabla en la instancia con al menos una regla de ACL donde las dos primeras condiciones se dejan vacías o son demasiado permisivas, una situación común». Para empeorar las cosas, un actor de amenaza podría expandir el radio de explosión del defecto utilizando técnicas como caminar de puntos y autorregistro para acceder a datos adicionales de tablas referenciadas, crear cuentas y obtener acceso a una instancia sin requerir la aprobación previa de un administrador. ServiceNow, en respuesta a los hallazgos, ha introducido nuevos mecanismos de seguridad, como ACL de consulta, filtros de datos de seguridad y ACL a menos de Degley, para contrarrestar el riesgo que plantea el ataque de consulta a ciegas de inferencia de datos. Si bien no hay evidencia de que el problema haya sido explotado en la naturaleza, se insta a todos los clientes de ServiceNow a aplicar las barandillas necesarias en las tablas sensibles. «Los clientes de ServiceNow también deben tener en cuenta que las ACL de consulta de consultas pronto se establecerán para negar predeterminada, por lo que deben crear exclusiones para mantener la capacidad autorizada del usuario para realizar tales acciones», dijo Armon. DLL secuestro de fallas en el software del menú rápido de TrackPoint de Lenovo El desarrollo se produce cuando TrustedSec detalló una falla de escalada de privilegios (CVE-2025-1729) en el software de menú rápido de TrackPoint («TPQMassistant.exe») presente en los computadores de Lenovo que podrían permitir que un atacante local se vaya a los privilegios de atacantes a medidas por medios de una vulnerabilidad de Dll. El defecto se ha abordado en la versión 1.12.54.0 lanzado el 8 de julio de 2025, luego de la divulgación responsable a principios de enero. «El directorio Housing ‘tpqMassistant.exe’ es escritura por usuarios estándar, que ya es una bandera roja», dijo el investigador de seguridad Oddvar Moe. «El permiso de la carpeta permite al propietario del creador escribir archivos, lo que significa que cualquier usuario local puede soltar archivos en esta ubicación». «Cuando se activa la tarea programada (o el binario en sí), intenta cargar ‘hostfxr.dll’ desde su directorio de trabajo pero falla, lo que resulta en un evento no encontrado. Como resultado, un atacante puede colocar una versión maliciosa de ‘hostfxr.dll’ en el directorio «C: \ ProgramDatallenovoltpqm \ Assistant» para secuestrar el flujo de control cuando se lanza el binario, lo que resulta en la ejecución de código arbitrario. Microsoft se dirige a Kerberos Dos Erring Los hallazgos también siguen la divulgación pública de una falla de lectura fuera de los límites en el protocolo de Netlogon de Windows Kerberos (CVE-2025-47978, puntaje CVSS: 6.5) que podría permitir que un atacante autorizado denegue el servicio a través de una red. Microsoft abordó la vulnerabilidad como parte de sus actualizaciones del martes de parche para julio de 2025. Silverfort, que ha asignado el nombre de NotLogon a CVE-2025-47978, dijo que permite cualquier «máquina de dominio con privilegios mínimos para enviar una solicitud de autenticación especializada que se bloquee que se bloqueará que será un controlador de dominio y causará un reBoot Full». «Esta vulnerabilidad no requiere privilegios elevados: solo se necesitan acceso estándar de la red y se necesita una cuenta de máquina débil. En entornos empresariales típicos, cualquier usuario privilegiado puede crear tales cuentas por defecto», dijo el investigador de seguridad DOR Segal. La compañía de ciberseguridad también señaló que el bloqueo afectó principalmente al Servicio del Subsistema de la Autoridad de Seguridad Local (LSASS), un proceso de seguridad crítico en Windows responsable de hacer cumplir las políticas de seguridad y manejar la autenticación de los usuarios. Por lo tanto, la explotación exitosa de CVE-2025-47978 podría desestabilizar o interrumpir los servicios de Active Directory. «Con solo una cuenta de máquina válida y un mensaje RPC diseñado, un atacante puede bloquear de forma remota un controlador de dominio, un sistema responsable de las funcionalidades centrales de Active Directory, incluida la autenticación, la autorización, la aplicación de políticas grupales y la emisión de boletos de servicio», dijo Segal. ¿Encontró este artículo interesante? Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.