Volver al Hub

Consecuencias globales del zero-day en SharePoint: Agencia nuclear de EE.UU. comprometida entre 400 víctimas

Imagen generada por IA para: Consecuencias globales del zero-day en SharePoint: Agencia nuclear de EE.UU. comprometida entre 400 víctimas

Un ciberataque coordinado que explotó vulnerabilidades desconocidas en Microsoft SharePoint ha comprometido a más de 400 organizaciones a nivel global, con la Administración Nacional de Seguridad Nuclear de EE.UU. (NNSA) como una de las víctimas más destacadas. Los ataques, iniciados a mediados de julio de 2025, aprovecharon tres fallos zero-day para acceder sin autorización a documentos sensibles y credenciales de sistemas en agencias gubernamentales y empresas privadas.

El equipo de seguridad de Microsoft confirmó que los atacantes, presuntamente grupos patrocinados por el estado chino según análisis de atribución, explotaron una cadena de vulnerabilidades que incluye una apodada 'ToolShell' (CVE-2025-32891) que permitía ejecución remota de código mediante peticiones API manipuladas. Dos fallos adicionales en los mecanismos de autenticación de SharePoint (CVE-2025-32892 y CVE-2025-32893) fueron utilizados para escalar privilegios y mantener persistencia.

La brecha en la NNSA, aunque no comprometió directamente sistemas de armas nucleares, expuso documentos administrativos sensibles y registros de personal. Analistas de seguridad observaron que los ataques siguieron un patrón de targeting a instancias de SharePoint sin autenticación multifactor implementada, utilizando luego los servidores comprometidos para moverse lateralmente hacia recursos en la nube conectados.

Microsoft liberó parches de emergencia el 22 de julio, aunque los equipos de seguridad advierten que muchas organizaciones siguen vulnerables debido a los requisitos de actualización manual para servidores SharePoint. El equipo de Threat Intelligence de la compañía observó a los atacantes exfiltrando datos que incluían archivos de correo, documentos contractuales y hashes de credenciales de redes victimas.

Los expertos en ciberseguridad recomiendan:

  1. Aplicación inmediata de parches en todos los servidores SharePoint
  2. Revisión de todas las integraciones API y herramientas personalizadas
  3. Análisis forense para detectar movimientos laterales
  4. Rotación de credenciales para todas las cuentas potencialmente expuestas

La escala del ataque resalta la creciente preocupación sobre plataformas colaborativas empresariales convertidas en objetivos de alto valor para amenazas persistentes avanzadas, particularmente cuando intervienen actores estatales.

Fuentes originales

NewsSearcher

Este artículo fue generado por nuestro sistema NewsSearcher de IA, que analiza y sintetiza información de múltiples fuentes confiables.

Tally of Microsoft victims surges to 400 as hackers exploit SharePoint flaw

The Mercury News
Ver fuente

US nuclear weapons agency hit in SharePoint attack

Windows Central
Ver fuente

Microsoft fixes three SharePoint zero-day exploits used in series of cyberattacks - how to patch them

ZDNet
Ver fuente

Microsoft diz que os servidores SharePoint foram atacados por grupos chineses

SAPO Tek
Ver fuente

Attacco hacker globale sfrutta falla di Microsoft: cosa sappiamo della vulnerabilità "ToolShell"

Corriere della Sera
Ver fuente

⚠️ Fuentes utilizadas como referencia. CSRaid no se responsabiliza por el contenido de sitios externos.

Por Alvaro Salinas Cybersecurity Engineer
Vulnerabilidades
Este artículo fue redactado con asistencia de IA y supervisado por nuestro equipo editorial.

Comentarios 0

¡Únete a la conversación!

Sé el primero en compartir tu opinión sobre este artículo.