← Volver al blog
Security Briefing3 min de lectura2026-04-18

Resumen de seguridad, 18 de abril de 2026: explotación de ActiveMQ, zero-days de Windows y consecuencias LSASS

El resumen de seguridad de hoy reúne tres señales concretas: CISA ha marcado la explotación de Apache ActiveMQ, Huntress está viendo zero-days filtrados de escalada de privilegios en Windows usados en intrusiones reales, y Microsoft confirmó bucles de fallo de LSASS en algunos controladores de dominio parcheados.


Top line: Esta mañana va de secuenciación defensiva. Una falla ya se está explotando, dos rutas de escalada de privilegios en Windows siguen sin corrección completa, y un parche oficial puede desestabilizar controladores de dominio en algunos entornos PAM. Los equipos de seguridad necesitan colas separadas para parchear ya, contener ya y pausar el despliegue ya.


1. ActiveMQ pasó de cola de parcheo a explotación activa

CISA añadió CVE-2026-34197 al catálogo KEV tras confirmarse explotación activa. El fallo afecta a Apache ActiveMQ Classic, nace de una validación de entrada incorrecta y permite ejecución remota de código autenticada. Apache lo corrigió en las versiones 6.2.3 y 5.19.4, pero los brokers expuestos siguen siendo un objetivo fácil. Shadowserver todavía rastrea más de 7.500 sistemas expuestos a internet.


2. Los zero-days filtrados de Windows ya forman parte de intrusiones reales

Huntress reportó el uso real de técnicas BlueHammer, RedSun y UnDefend. BlueHammer se parcheó en abril, pero RedSun y UnDefend siguen sin corrección completa del proveedor. La actividad observada incluyó un usuario de SSL VPN comprometido seguido de comportamiento interactivo del atacante. Ya no son simples PoC de investigador en GitHub.


3. El parcheo de servidores de abril también trae una trampa de disponibilidad

Microsoft confirmó que KB5082063 puede provocar fallos de LSASS y bucles de reinicio en algunos controladores de dominio no Global Catalog dentro de entornos de Privileged Access Management. Eso convierte un despliegue rutinario de seguridad en un riesgo de caída de identidad. La lección es simple: una autenticación inestable puede borrar el beneficio operativo de parchear rápido.


Qué deberían hacer hoy los equipos de seguridad

  1. Completa primero la triage de emergencia de ActiveMQ, especialmente en brokers expuestos y despliegues Classic antiguos.
  2. Busca artefactos de BlueHammer, RedSun y UnDefend allí donde acceso VPN reciente o escalada administrativa parezcan sospechosos.
  3. Valida si hay controladores de dominio PAM en alcance antes de ampliar el despliegue de KB5082063.
  4. Envía a liderazgo una actualización clara que separe presión de explotación y riesgo de inestabilidad del parche.

Bottom line: La defensa madura hoy exige moverse a tres velocidades a la vez: parchear el broker expuesto, cazar el punto de apoyo en Windows y frenar cualquier despliegue que pueda dejar la identidad fuera de servicio.

Separa el parcheo urgente del parcheo peligroso

KENSAI ayuda a los equipos de seguridad a verificar sistemas expuestos, rutas de explotación activas y riesgo operativo de despliegue antes de que la urgencia se convierta en caída evitable.

Iniciar escaneo gratis →

Mantente alerta.

🗡️ KENSAI Security Team