Una importante campaña de piratería informática contra el software del servidor SharePoint de Microsoft atacó a más de 400 víctimas, según investigadores de Eye Security, con sede en los Países Bajos.
En una actualización publicada el 23 de julio, Eye Security afirmó que “antes de que esta vulnerabilidad se diera a conocer el viernes pasado, nuestro equipo escaneó más de 23,000 servidores SharePoint en todo el mundo” y, en total, la empresa encontró más de 400 sistemas que “se vieron comprometidos de forma activa durante cuatro oleadas de ataques confirmadas”.
Según la empresa, el sabotaje comenzó el 17 de julio y se intensificó los días 18, 19 y 21 de julio. En uno de los ataques, se subió a la popular página web de intercambio de código Github “un script de explotación de prueba de concepto público”, según la empresa.
Los detalles de la mayoría de las organizaciones víctimas no se han revelado por completo. Eye Security no las nombró ni identificó el origen de los ataques.
El sábado, Microsoft emitió una alerta a sus clientes en la que informaba que era consciente del exploit de día cero que se estaba utilizando para llevar a cabo los ataques y que estaba trabajando para solucionar el problema.
Un exploit de día cero es un ciberataque que aprovecha una vulnerabilidad previamente desconocida. “Día cero” se refiere a que los ingenieros de seguridad no han tenido ningún día para desarrollar una solución.
Microsoft actualizó el domingo sus instrucciones para solucionar el problema en SharePoint Server 2019 y SharePoint Server Subscription Edition. Los ingenieros seguían trabajando en una solución para el software anterior SharePoint Server 2016.
Según la Agencia de Seguridad Cibernética y de Infraestructuras de EE. UU. (CISA), el exploit que afecta a SharePoint es “una variante de la vulnerabilidad existente CVE-2025-49706 y supone un riesgo para las organizaciones con servidores SharePoint locales”.
La CISA advirtió que el impacto podría ser generalizado y recomendó que todos los servidores afectados por el exploit se desconectaran de Internet hasta que se solucionen los problemas.
Mientras tanto, un alto cargo del Grupo de Inteligencia contra Amenazas de Google advirtió a principios de esta semana en las redes sociales que la vulnerabilidad de Microsoft podría permitirle a los delincuentes “eludir futuros parches”.
El 22 de julio, Microsoft afirmó que grupos de hackers vinculados al régimen chino ya habían aprovechado la falla de seguridad, con “dos actores estatales chinos identificados, Linen Typhoon y Violet Typhoon, que se aprovechaban de estas vulnerabilidades dirigidas a servidores SharePoint conectados a Internet”.
Al mismo tiempo, añadió que se había observado a “otro actor malicioso con sede en China, rastreado como Storm-2603”, aprovechándose de vulnerabilidades en su software SharePoint. La publicación sugería que es probable que se produzcan más ataques.
“Con la rápida adopción de estos exploits, Microsoft evalúa con gran confianza que los actores maliciosos continuarán integrándolos en sus ataques contra sistemas SharePoint locales sin parches”, afirmó la empresa con sede en Redmond, Washington.
Microsoft, que también fabrica el popular sistema operativo Windows, aconsejó a los clientes y administradores de SharePoint que actualizaran el software de sus servidores con los últimos parches de seguridad. También recomendó a los usuarios que activaran el software de Microsoft, como Defender Antivirus y su interfaz de análisis antimalware, o programas equivalentes.
El anuncio se produce pocos meses después de que el Departamento de Justicia de Estados Unidos anunciara la imputación de dos ciudadanos chinos acusados de operar en el grupo de hackers APT27 y de haber atacado empresas estadounidenses, sistemas de gobiernos locales y otras instituciones.
Con información de The Associated Press.
Únase a nuestro canal de Telegram para recibir las últimas noticias al instante haciendo click aquí
