La violación de Microsoft SharePoint expone a las empresas globales a la ejecución de código y al robo de datos

Microsoft está compitiendo para contener una falla de seguridad crítica en su software de colaboración SharePoint que ya ha sido explotada por actores de amenazas para infiltrarse en miles de organizaciones en todo el mundo.

La vulnerabilidad, señalada por la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) durante el fin de semana, permite a los atacantes no autenticados obtener acceso completo al contenido de SharePoint y ejecutar código remoto en las redes afectadas.

A diferencia de muchos incidentes pasados, esta violación no es teórica. Ya ha resultado en ataques en vivo, según los investigadores de seguridad.

Dado que SharePoint sirve como columna vertebral para la colaboración de documentos en empresas de todo el mundo, la falla abre la puerta a la exfiltración generalizada de datos, el robo de credenciales y la plantación de puertas traseras.

Microsoft ha publicado parches para algunas versiones afectadas, pero aún no todos los sistemas están protegidos, en particular los que ejecutan SharePoint Server 2016, que sigue sin solución.

La vulnerabilidad afecta a los servidores locales de SharePoint, no a Microsoft 365

Según una alerta de Microsoft el sábado, la vulnerabilidad solo afecta a los servidores de SharePoint en las instalaciones, sin afectar a la plataforma Microsoft 365 alojada en la nube de la compañía.

Sin embargo, muchas empresas globales todavía dependen de versiones autohospedadas de SharePoint, lo que aumenta el alcance de la amenaza.

La firma europea de ciberseguridad Eye Security, que detectó por primera vez la falla, señaló que los piratas informáticos pueden hacerse pasar por usuarios o servicios incluso después de aplicar un parche.

Esto hace que la amenaza sea especialmente persistente y difícil de contener.

Los atacantes están explotando la falla para establecer acceso a largo plazo a los sistemas empresariales, moviéndose lateralmente a través de servicios de Microsoft como Outlook y Teams, que a menudo están integrados con servidores de SharePoint.

Microsoft y CISA emiten parches de seguridad urgentes y advertencias

El domingo, Microsoft lanzó correcciones de seguridad para dos versiones del software vulnerable de SharePoint, pero confirmó que todavía estaba desarrollando un parche para la versión 2016.

La compañía aún no ha proporcionado más comentarios.

La advertencia oficial de la CISA describió la vulnerabilidad como permitiendo el "acceso no autenticado a los sistemas" y advirtió que "representa un riesgo para las organizaciones".

La agencia todavía está evaluando el alcance total y la escala de la violación. Se insta a las organizaciones que aún no han aplicado los parches de Microsoft a que lo hagan de inmediato para mitigar el posible compromiso.

Palo Alto Networks confirmó que el exploit es "real, en la naturaleza" y representa una "amenaza seria".

El CTO y jefe de inteligencia de amenazas de la compañía, Michael Sikorski, dijo que los atacantes ya están dentro de sistemas comprometidos y están exfiltrando datos, robando claves criptográficas e instalando malware persistente para mantener el acceso.

Miles de entidades globales probablemente afectadas por la explotación activa

Los investigadores de Palo Alto Networks creen que miles de organizaciones de todo el mundo ya se han visto afectadas.

Dado el papel central que desempeña SharePoint en la colaboración empresarial, los sistemas comprometidos no solo filtran documentos, sino que también exponen comunicaciones internas confidenciales y credenciales de inicio de sesión.

Los atacantes están aprovechando la vulnerabilidad para hacerse pasar por usuarios legítimos y navegar a través de los servicios conectados, lo que les permite extraer datos o escalar privilegios.

Incluso los sistemas parcheados pueden seguir siendo vulnerables a los ataques de suplantación de identidad a menos que se tomen medidas de mitigación adicionales.

La explotación de la falla de SharePoint sigue un patrón visto en intrusiones cibernéticas anteriores a gran escala, donde los puntos de entrada iniciales se utilizan para comprometer una infraestructura más amplia.

El hecho de que esta violación permita la ejecución remota de código a través de la red aumenta aún más el riesgo de propagación rápida a través de los sistemas internos.

Un apagón informático no relacionado interrumpe las operaciones de Alaska Airlines

En un incidente no relacionado, Alaska Airlines informó de una breve interrupción de sus operaciones en tierra durante unas tres horas la madrugada del domingo debido a un corte informático.

El portaaviones reanudó sus operaciones alrededor de las 2 a.m. EST. No hay evidencia actual que vincule la interrupción con el problema de seguridad en curso de SharePoint.

Sin embargo, el momento ha aumentado las preocupaciones sobre la resiliencia digital en el sector del transporte y la aviación, que con frecuencia depende de la infraestructura basada en Microsoft para sus operaciones.

Se está instando a la industria, como a muchas otras, a verificar si hay signos de compromiso.