Por Naveen Athrapply
Los piratas informáticos están atacando a las vulnerabilidades del servidor de Microsoft SharePoint de Microsoft, la Agencia de Defensa de Seguridad e Infraestructura Cibernética de los Estados Unidos (CISA) anunció en un informe del 20 de julio.
Las organizaciones utilizan los servidores de SharePoint para crear un servicio de intranet privado que construya sitios web, administra el intercambio de documentos y admite otros esfuerzos de colaboración dentro de la empresa.
«Esta actividad de explotación, informada públicamente como ‘herramientas’, proporciona un acceso no autenticado a los sistemas y permite a los actores maliciosos acceder completamente a contenido de SharePoint, incluidos los sistemas de archivos y las configuraciones internas, y ejecutar código a través de la red», dijo CISA, y agregó que se está evaluando el alcance y el impacto del nuevo ataque de la ejecución del código remoto (RCE).
Microsoft reconoció el problema un día antes. En un informe de orientación del 19 de julio, la compañía dijo que el intento de explotación se aplicó solo a los servidores de SharePoint. SharePoint Online basado en la nube en Microsoft 365 es un sistema diferente y no se ve afectado.
Según la compañía, la suite de SharePoint es utilizada por más de 200,000 organizaciones y 190 millones de personas en todo el mundo.
La actualización de seguridad de julio solo aborda parcialmente las vulnerabilidades existentes, dijo Microsoft. Se han publicado nuevas actualizaciones de seguridad que protegen completamente a los clientes que utilizan SharePoint Subscription Edition y SharePoint 2019.
Se recomienda a los clientes que apliquen actualizaciones del sistema de inmediato para garantizar la protección. Las actualizaciones de seguridad para los usuarios de SharePoint 2016 aún no se han publicado.
Microsoft publicó una lista de formas en que los clientes pueden mitigar los ataques. Incluyen la instalación de las últimas actualizaciones de seguridad, utilizando versiones compatibles del servidor de SharePoint en las instalaciones, asegurándose de que la interfaz de escaneo de antimalware esté activada y configurada correctamente en combinación con una solución antivirus, implementando servicios como Microsoft Defender para la protección de puntos finales y las teclas de máquina ASP.NET del servidor SharePoint rotativo.
Los detalles más técnicos para las técnicas de caza avanzada y otros esfuerzos de mitigación están en el sitio web de Microsoft.
Recomendaciones de CISA
Para reducir los riesgos asociados con el intento de explotación de RCE, CISA tiene varias recomendaciones para las organizaciones. Reiteró la guía de Microsoft para activar la interfaz de escaneo de antimalware (AMSI) y el defensor de MS en todos los servidores.
Si AMSI no se puede implementar de inmediato, la agencia sugirió que las empresas desconecten todos los productos afectados de Internet y se vuelvan a conectar después de mitigarse de la amenaza.
CISA pidió a las empresas que siguieran el protocolo de orientación de BOD 22-01 para reducir el riesgo.
Para la detección y las medidas avanzadas de caza de amenazas, se les pide a las organizaciones que sigan el aviso de Microsoft por la vulnerabilidad del servidor o CVE-2025-49706, que se lanzó el 8 de julio y se agregó al catálogo de explotación de CISA el 20 de julio.
Las empresas deben actualizar los sistemas de prevención de intrusiones y las reglas de firewall de aplicación web para bloquear los patrones de explotación y el comportamiento anómalo, e implementar el registro integral para identificar la actividad de explotación.
Por último, CISA aconsejó auditar y minimizar el diseño y los privilegios del administrador.
Si un actor malicioso ha obtenido acceso o la empresa detecta actividad anómala en sus servidores, tales incidentes deben informarse al Centro de Operaciones las 24 horas del día, los 24 horas, los 24/7 en Report@cisa.gov o (888) 282-0870.
Recientemente, con la mayor proliferación de plataformas en la nube y tecnologías relacionadas, ha habido un aumento correspondiente en la actividad de amenazas sofisticada dirigida a sistemas de identidad y autenticación basados en la infraestructura en la nube.
«A medida que la infraestructura en la nube se ha vuelto más ubicua, subvalorando los datos clave del gobierno y la infraestructura crítica, los actores afiliados a la nación en estado nación han expuesto limitaciones en la autenticación de tokens, la gestión de clave, los mecanismos de registro, las dependencias de terceros y las prácticas de gobernanza», dijo Cisa en una declaración del 15 de julio.
Para contrarrestar estas amenazas, CISA ha pedido un aumento en las asociaciones privadas públicas para salvaguardar la infraestructura en la nube.