AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

**Oleada de ataques explota vulnerabilidades zero-day en SharePoint: al menos tres grupos chinos implicados**

admin

### 1. Introducción

El ecosistema de Microsoft SharePoint, pilar fundamental en la colaboración empresarial digital, se encuentra actualmente bajo una intensa ofensiva por parte de actores maliciosos que explotan vulnerabilidades zero-day. Según informes recientes, al menos tres grupos de ciberespionaje patrocinados por el Estado chino han intensificado sus campañas dirigidas específicamente a sistemas SharePoint, comprometiendo la seguridad de organizaciones de todo el mundo. Este escenario subraya la creciente sofisticación y coordinación detrás de las amenazas dirigidas al software de productividad empresarial más utilizado en el sector privado y público.

### 2. Contexto del Incidente o Vulnerabilidad

Desde principios de 2024, se han documentado múltiples incidentes en los que actores avanzados han aprovechado vulnerabilidades zero-day en diversas versiones de Microsoft SharePoint Server. Estos ataques no sólo se han dirigido a infraestructuras críticas de Europa y Norteamérica, sino que también han afectado a organizaciones gubernamentales, instituciones financieras y proveedores de servicios gestionados (MSP). Las investigaciones apuntan a que los grupos involucrados, identificados como Storm-0978 (alias APT41), Volt Typhoon y RedHotel, han alineado sus operaciones con intereses estratégicos chinos, empleando técnicas de acceso inicial, escalada de privilegios y exfiltración de información.

### 3. Detalles Técnicos

Las vulnerabilidades más explotadas durante esta oleada incluyen:

– **CVE-2023-29357**: Elevación de privilegios en SharePoint Server. Permite a un atacante ejecutar código arbitrario en el contexto del sistema.
– **CVE-2024-21586**: Ejecución remota de código mediante manipulación de solicitudes HTTP maliciosas.
– **CVE-2024-21410**: Permite eludir autenticación y obtener acceso a recursos restringidos.

**Vectores de ataque**:
Los atacantes emplean el envío de payloads específicamente diseñados a endpoints vulnerables de SharePoint (por ejemplo, `/_layouts/15/`), lo que les permite ejecutar comandos de PowerShell, cargar webshells como China Chopper o Godzilla, e iniciar la fase de movimiento lateral.

**Tácticas, Técnicas y Procedimientos (TTP)**:
– **MITRE ATT&CK**:
– T1190 (Exploitation of Remote Services)
– T1059 (Command and Scripting Interpreter)
– T1071.001 (Web Protocols)
– T1210 (Exploitation of Remote Services)
– **Indicadores de Compromiso (IoC)**:
– Modificación de archivos ASPX en rutas no estándar
– Conexiones salientes a dominios asociados a infraestructura china
– Uso de herramientas de post-explotación como Cobalt Strike, Metasploit y Beacon
– Persistencia mediante tareas programadas y backdoors de PowerShell

**Exploits conocidos**:
En foros clandestinos y repositorios privados, ya circulan exploits funcionales para CVE-2023-29357 y CVE-2024-21586, con módulos específicos para frameworks como Metasploit y la integración reciente en Cobalt Strike.

### 4. Impacto y Riesgos

La explotación de estos zero-day ha facilitado el acceso no autorizado a datos confidenciales, credenciales administrativas y activos críticos. Según estimaciones de la firma Mandiant, más del 30% de las empresas Fortune 500 con despliegues on-premises de SharePoint han sido objeto de escaneos activos o intentos de explotación en los últimos seis meses. Las consecuencias incluyen:

– Robo de propiedad intelectual y secretos comerciales
– Interrupción de operaciones y sabotaje interno
– Riesgo de sanciones regulatorias por incumplimiento de GDPR y NIS2
– Costes asociados a respuesta a incidentes, cifrados en decenas de millones de euros en los casos más graves

### 5. Medidas de Mitigación y Recomendaciones

Microsoft ya ha publicado parches de seguridad para las vulnerabilidades identificadas. Se recomienda:

– **Aplicar inmediatamente las actualizaciones oficiales de seguridad** para todas las versiones de SharePoint Server afectadas.
– Monitorización proactiva de logs de eventos y tráfico de red en busca de IoC asociados.
– Uso de EDR y SIEM para la detección de comportamientos anómalos y respuesta automatizada.
– Realizar auditorías de cuentas privilegiadas y revisión de configuraciones de acceso externo.
– Desplegar reglas personalizadas en WAF y segmentar el acceso a SharePoint desde redes no confiables.

### 6. Opinión de Expertos

Especialistas como Juan Carlos García, CISO de una multinacional de servicios financieros, subrayan: “El aumento de zero-days dirigidos a plataformas colaborativas demuestra que los actores patrocinados están priorizando el acceso inicial a redes corporativas a través de vectores de alto impacto como SharePoint”. Por su parte, analistas de Kaspersky y CrowdStrike advierten sobre la rápida adopción de exploits por parte de grupos menos avanzados, lo que amplía el espectro de amenaza más allá del ciberespionaje estatal.

### 7. Implicaciones para Empresas y Usuarios

Para las empresas, la exposición de SharePoint implica no sólo riesgos directos sobre la confidencialidad e integridad de los datos, sino también un potencial impacto reputacional y sanciones bajo el marco GDPR y la inminente NIS2. Los usuarios deben ser conscientes de que documentos y comunicaciones internas pueden verse comprometidos incluso sin interacción directa, por lo que la formación y concienciación siguen siendo medidas complementarias clave.

### 8. Conclusiones

La ofensiva coordinada sobre SharePoint y la proliferación de vulnerabilidades zero-day pone de manifiesto la necesidad de un enfoque de seguridad proactivo y multifacético, que aborde tanto la protección técnica como la resiliencia organizativa frente a amenazas persistentes y sofisticadas. La respuesta temprana, la actualización constante y la colaboración entre actores del sector serán determinantes para contener futuras campañas de ciberespionaje a gran escala.

(Fuente: www.darkreading.com)