AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Vulnerabilidades

Nueva vulnerabilidad crítica en SharePoint: ejecución remota de código tras su divulgación

Introducción

En los últimos días, la comunidad de ciberseguridad ha sido testigo de la rápida explotación de una nueva vulnerabilidad crítica en Microsoft SharePoint Server, tan solo horas después de hacerse pública su existencia. Este defecto de seguridad, que ha sido catalogado con severidad crítica, permite a atacantes autenticados ejecutar código arbitrario de forma remota en los servidores afectados. Dada la ubicuidad de SharePoint en entornos corporativos, la amenaza adquiere especial relevancia para administradores de sistemas, responsables de ciberseguridad y equipos SOC encargados de proteger datos sensibles y recursos empresariales.

Contexto del Incidente o Vulnerabilidad

El fallo de seguridad, identificado como CVE-2024-38080, afecta a varias versiones de Microsoft SharePoint Server, incluyendo SharePoint Server Subscription Edition y SharePoint Server 2019. La vulnerabilidad fue divulgada por Microsoft en su ciclo de actualizaciones de seguridad de junio de 2024. A las pocas horas de su publicación, proveedores de inteligencia de amenazas y analistas SOC detectaron intentos activos de explotación en la naturaleza, lo que subraya la rapidez con la que los actores de amenazas aprovechan las ventanas de exposición tras las divulgaciones oficiales.

Detalles Técnicos

El CVE-2024-38080 reside en la gestión insuficiente de permisos en los endpoints de SharePoint que procesan determinadas peticiones autenticadas. Un atacante que haya logrado autenticarse en el sistema (por ejemplo, mediante credenciales comprometidas o movimientos laterales) puede explotar esta debilidad para ejecutar comandos arbitrarios en el contexto del proceso de SharePoint, lo que equivale a una ejecución remota de código (RCE).

La explotación se alinea con técnicas del framework MITRE ATT&CK, especialmente T1190 (Exploitation of Remote Services) y T1078 (Valid Accounts). Los indicadores de compromiso (IoC) observados incluyen registros de acceso inusual a endpoints específicos, creación anómala de procesos hijos por parte del servicio de SharePoint y cambios inesperados en archivos críticos del sistema.

Se han identificado exploits públicos en repositorios no oficiales y foros clandestinos, y ya se ha confirmado la integración de la vulnerabilidad en frameworks de pentesting como Metasploit y Cobalt Strike, lo que facilita su aprovechamiento tanto por profesionales de seguridad como por actores maliciosos.

Impacto y Riesgos

El impacto de esta vulnerabilidad es elevado, ya que un atacante con acceso autenticado puede obtener control total sobre los sistemas afectados. Esto posibilita la instalación de puertas traseras (webshells), exfiltración de datos confidenciales, escalada de privilegios y movimientos laterales dentro de la infraestructura corporativa. Organizaciones que dependen de SharePoint para la gestión documental y la colaboración interna están particularmente expuestas.

Se estima que más del 60% de las grandes empresas europeas utilizan alguna versión de SharePoint. Dado que la explotación requiere autenticación previa, se espera que los grupos de ransomware y APTs focalicen ataques en organizaciones donde ya han logrado una intrusión inicial, maximizando el daño potencial antes de ser detectados.

Medidas de Mitigación y Recomendaciones

Microsoft ha publicado parches de seguridad que corrigen el defecto en todas las versiones afectadas. Se recomienda aplicar las actualizaciones de inmediato, priorizando entornos expuestos a internet o con usuarios remotos. Entre las mejores prácticas se encuentran:

– Monitorizar intentos de acceso y actividad sospechosa en los logs de SharePoint.
– Restringir el acceso mediante VPN o segmentación de red.
– Implementar autenticación multifactor (MFA) para todos los usuarios.
– Auditar y revocar credenciales innecesarias o comprometidas.
– Desplegar reglas adicionales en soluciones EDR/NDR que alerten sobre la ejecución de procesos inusuales desde el contexto de SharePoint.

Opinión de Expertos

Especialistas como Pablo San Emeterio, del CCN-CERT, advierten que “la velocidad a la que se están explotando vulnerabilidades críticas en aplicaciones corporativas obliga a las empresas a reducir drásticamente la ventana de parcheo”. Por su parte, expertos de SANS Institute resaltan la importancia de combinar parches con una vigilancia activa, dado el uso intensivo de credenciales robadas en campañas de ataque recientes.

Implicaciones para Empresas y Usuarios

El incidente subraya la necesidad de una gestión ágil de vulnerabilidades en el ecosistema Microsoft. Las organizaciones sujetas a normativas como el GDPR o la directiva NIS2 pueden enfrentarse a sanciones considerables en caso de fuga de datos personales debida a la explotación de este tipo de fallos. Además, el aumento de ataques dirigidos a plataformas colaborativas refuerza la tendencia de los atacantes a buscar puntos de apoyo internos tras una intrusión inicial, especialmente en sectores críticos como banca, sanidad o administración pública.

Conclusiones

La vulnerabilidad CVE-2024-38080 en SharePoint pone de manifiesto la urgencia de mantener procesos de parcheo eficientes y de fortalecer las medidas de defensa en profundidad. Los profesionales de la ciberseguridad deben estar atentos a la aparición de nuevos exploits y adaptar sus estrategias de protección para minimizar el riesgo de explotación, teniendo en cuenta el ciclo cada vez más corto entre la divulgación y el uso activo de vulnerabilidades críticas por parte de los adversarios.

(Fuente: www.securityweek.com)