Las vulnerabilidades de los servidores locales de Microsoft SharePoint están siendo objeto de ataques por parte de hackers, según anunció la Agencia de Seguridad Cibernética y Defensa de las Infraestructuras de EE. UU. (CISA) en un informe publicado el 20 de julio.
Los servidores SharePoint son utilizados por las organizaciones para crear un servicio de intranet privado que construye sitios web, gestiona el intercambio de documentos y apoya otros esfuerzos de colaboración dentro de las empresas.
“Esta actividad de explotación, conocida públicamente como 'ToolShell', proporciona acceso no autenticado a los sistemas y permite a los actores maliciosos acceder completamente al contenido de SharePoint, incluidos los sistemas de archivos y las configuraciones internas, y ejecutar código a través de la red”, afirmó la CISA, añadiendo que se está evaluando el alcance y el impacto del nuevo ataque de ejecución remota de código (RCE).
Microsoft reconoció el problema un día antes. En un informe de orientación publicado el 19 de julio, la empresa afirmó que el intento de explotación solo se aplicaba a los servidores SharePoint. SharePoint Online basado en la nube en Microsoft 365 es un sistema diferente y no se ve afectado.
Según la empresa, toda la suite SharePoint es utilizada por más de 200,000 organizaciones y 190 millones de personas en todo el mundo.
La actualización de seguridad de julio solo soluciona parcialmente las vulnerabilidades existentes, según Microsoft. Se han publicado nuevas actualizaciones de seguridad que protegen completamente a los clientes que utilizan SharePoint Subscription Edition y SharePoint 2019.
Se recomienda a los clientes que apliquen las actualizaciones del sistema inmediatamente para garantizar su protección. Las actualizaciones de seguridad para los usuarios de SharePoint 2016 aún no se han publicado.
Microsoft publicó una lista de medidas que los clientes pueden tomar para mitigar los ataques. Entre ellas se incluyen instalar las últimas actualizaciones de seguridad, utilizar versiones compatibles de SharePoint Server local, asegurarse de que la interfaz de análisis antimalware está activada y configurada correctamente en combinación con una solución antivirus, implementar servicios como Microsoft Defender para la protección de Endpoint y rotar las claves de máquina ASP.NET de SharePoint Server.
En el sitio web de Microsoft se pueden encontrar más detalles técnicos sobre técnicas avanzadas de búsqueda y otras medidas de mitigación.
Recomendaciones de la CISA
Para reducir los riesgos asociados al intento de explotación de RCE, la CISA ha publicado varias recomendaciones para las organizaciones. Reiteró las directrices de Microsoft sobre la activación de la interfaz de análisis antimalware (AMSI) y MS Defender en todos los servidores.Si no es posible implementar AMSI de inmediato, la agencia sugirió a las empresas que desconectaran todos los productos afectados de Internet y volvieran a conectarlos solo después de mitigar la amenaza.
La CISA pidió a las empresas que siguieran el protocolo de directrices BOD 22-01 para reducir el riesgo.
Para la detección y las medidas avanzadas de búsqueda de amenazas, se pide a las organizaciones que sigan el aviso de Microsoft sobre la vulnerabilidad de suplantación de servidor o CVE-2025-49706, que se publicó el 8 de julio y se añadió al catálogo de explotación de la CISA el 20 de julio.
Las empresas deben actualizar los sistemas de prevención de intrusiones y las reglas del firewall de aplicaciones web para bloquear los patrones de explotación y el comportamiento anómalo, e implementar un registro completo para identificar la actividad de explotación.
Por último, la CISA aconsejó auditar y minimizar los privilegios de diseño y de administrador.
Si un actor malintencionado obtiene acceso o la empresa detecta una actividad anómala en sus servidores, dichos incidentes deben notificarse al Centro de Operaciones de la CISA, disponible las 24 horas del día, los 7 días de la semana, en [email protected] o en el (888) 282-0870.
Recientemente, con la creciente proliferación de las plataformas en la nube y las tecnologías relacionadas, se ha producido un aumento correspondiente de las actividades sofisticadas que amenazan los sistemas de identidad y autenticación basados en la infraestructura en la nube.
“A medida que la infraestructura en la nube se ha vuelto más omnipresente, sustentando datos clave del gobierno y de infraestructuras críticas, actores sofisticados afiliados a estados nacionales han puesto de manifiesto las limitaciones de la autenticación por tokens, la gestión de claves, los mecanismos de registro, las dependencias de terceros y las prácticas de gobernanza”, afirmó la CISA en un comunicado del 15 de julio.
Para contrarrestar estas amenazas, la CISA pide que se aumenten las asociaciones público-privadas para proteger la infraestructura en la nube.
Únase a nuestro canal de Telegram para recibir las últimas noticias al instante haciendo click aquí
