<?xml version="1.0" encoding="utf-8" standalone="yes"?><rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom"><channel><title>Toctou on Dust115 // SkullFox Digital Archive</title><link>https://fennek.org/tags/toctou/</link><description>Recent content in Toctou on Dust115 // SkullFox Digital Archive</description><generator>Hugo</generator><language>en</language><lastBuildDate>Wed, 01 Jul 2026 19:50:00 -0400</lastBuildDate><atom:link href="https://fennek.org/tags/toctou/index.xml" rel="self" type="application/rss+xml"/><item><title>BlueHammer y RedSun: cuando tu antivirus escribe en System32 por ti</title><link>https://fennek.org/posts/bluehammer-redsun/</link><pubDate>Wed, 01 Jul 2026 19:50:00 -0400</pubDate><guid>https://fennek.org/posts/bluehammer-redsun/</guid><description>Dos CVE distintos, la misma idea: hacer que Microsoft Defender —que corre como SYSTEM— escriba un fichero atacante dentro de C:\Windows\System32. La clave no es el CVE, es la clase de bug: una carrera TOCTOU armada con oplocks y junctions de NTFS. Deep-dive defensivo con detección comportamental.</description></item><item><title>RoguePlanet: la carrera a SYSTEM que sobrevive al parche de junio</title><link>https://fennek.org/posts/rogueplanet/</link><pubDate>Wed, 01 Jul 2026 19:20:00 -0400</pubDate><guid>https://fennek.org/posts/rogueplanet/</guid><description>La cuarta vulnerabilidad de Defender del mismo actor, y la que seguía sin parche cuando escribí esto. Misma clase de bug que BlueHammer —TOCTOU con oplock y junction— pero por otra ruta: el pipeline de cuarentena, apoyado en Windows Error Reporting para ejecutar como SYSTEM. Deep-dive con detección comportamental, que aquí es el único control real.</description></item></channel></rss>