Una vulnerabilidad crítica de día cero en servidores Microsoft SharePoint está siendo activamente explotada por grupos de hackers patrocinados por el estado chino en una campaña de ciberespionaje a gran escala, según confirman investigadores de seguridad. La falla, registrada como CVE-2023-29357, tiene una puntuación CVSS máxima de 9.8 y permite la ejecución remota de código en sistemas SharePoint vulnerables.
Análisis técnico:
La vulnerabilidad proviene de una validación inadecuada de entradas en la función de conversión de documentos de SharePoint. Los atacantes pueden explotarla enviando solicitudes especialmente diseñadas a servidores objetivo, eludiendo mecanismos de autenticación para obtener privilegios a nivel de SISTEMA. Esto permite el compromiso total del servidor y movimiento lateral dentro de redes empresariales.
Microsoft admitió conocer la vulnerabilidad desde mayo de 2023 pero no pudo desarrollar una solución completa antes de que comenzaran a circular exploits en junio. Si bien la compañía publicó una mitigación parcial en las actualizaciones de julio, analistas confirman que puede ser evadida por atacantes determinados.
Detalles de la campaña:
Los ataques han comprometido aproximadamente 100 organizaciones en 15 países, con especial enfoque en:
- Contratistas de defensa y agencias federales de EE.UU.
- Empresas industriales y manufactureras alemanas
- Entidades gubernamentales del sudeste asiático
La evidencia apunta a la participación de grupos APT vinculados a China (presuntamente APT40 o APT31) basado en:
- Uso consistente de infraestructura previamente vinculada a operaciones chinas
- Implementación de variantes de malware personalizado conocidas
- Patrones de objetivos alineados con prioridades estratégicas de inteligencia china
Evaluación de impacto:
La explotación exitosa permite a los atacantes:
- Robar documentos sensibles y credenciales
- Establecer puertas traseras persistentes
- Moverse lateralmente a otros sistemas empresariales
- Desplegar ransomware o malware destructivo como cargas secundarias
Recomendaciones de mitigación:
- Aplicar la solución temporal de Microsoft (deshabilitar funciones afectadas)
- Implementar segmentación estricta de red para servidores SharePoint
- Monitorear eventos de autenticación anómalos
- Realizar análisis forense en busca de indicadores de compromiso
Microsoft no ha proporcionado un cronograma estimado para un parche completo, dejando a las organizaciones vulnerables a continuos ataques. El incidente resalta la creciente preocupación por la explotación de plataformas colaborativas empresariales por parte de estados-nación.
Comentarios 0
Comentando como:
¡Únete a la conversación!
Sé el primero en compartir tu opinión sobre este artículo.
¡Inicia la conversación!
Sé el primero en comentar este artículo.