Grupos de hackers patrocinados por el estado chino están explotando activamente una vulnerabilidad crítica en Microsoft SharePoint que, aunque fue parcheada inicialmente en junio de 2023, sigue siendo vulnerable debido a que el parche puede ser eludido. Identificada como CVE-2023-29357, esta falla de escalamiento de privilegios está siendo utilizada en una campaña global de ciberataques que compromete servidores SharePoint en múltiples organizaciones.
La vulnerabilidad permite a los atacantes obtener privilegios de administrador en servidores SharePoint afectados mediante la explotación de fallos en el mecanismo de autenticación. Con estos privilegios elevados, los actores maliciosos pueden implementar web shells, exfiltrar datos sensibles y moverse lateralmente por las redes corporativas.
Originalmente, Microsoft había clasificado esta vulnerabilidad como 'importante' (no crítica) cuando la abordó en las actualizaciones de junio. Sin embargo, el parche incompleto ha convertido esta amenaza en crítica, con múltiples grupos APT (Advanced Persistent Threat) utilizando la cadena de explotación.
'Esto representa un fallo fundamental en el ciclo de vida de desarrollo seguro de Microsoft', señaló un investigador senior de una importante firma de ciberseguridad. 'Cuando los parches pueden ser eludidos meses después de su lanzamiento, se erosiona la confianza en todo el ecosistema de actualizaciones de seguridad.'
El análisis técnico revela que la técnica de bypass implica la manipulación de ciertas llamadas API de SharePoint que no fueron aseguradas adecuadamente en el parche inicial. Los atacantes están combinando esto con otras vulnerabilidades conocidas para crear cadenas de explotación confiables que funcionan contra sistemas supuestamente parcheados.
Recomendaciones para organizaciones:
- Implementar las mitigaciones temporales proporcionadas por Microsoft
- Monitorear archivos .aspx sospechosos en directorios de SharePoint
- Restringir el acceso externo a interfaces de administración de SharePoint
- Aplicar segmentación de red adicional para servidores SharePoint
Este incidente ocurre mientras Microsoft enfrenta crecientes críticas por sus prácticas de seguridad tras múltiples brechas de alto perfil vinculadas a actores estatales. Los profesionales de seguridad exigen procesos de verificación de parches más rigurosos y comunicación transparente sobre la efectividad de los parches.
Comentarios 0
Comentando como:
¡Únete a la conversación!
Sé el primero en compartir tu opinión sobre este artículo.
¡Inicia la conversación!
Sé el primero en comentar este artículo.