Hackers vinculados a China explotan cadena de zero-days en SharePoint para comprometer infraestructuras críticas
Introducción
En las últimas semanas se ha detectado una oleada de ataques dirigidos a infraestructuras corporativas que explotan una cadena de vulnerabilidades zero-day en Microsoft SharePoint. Los responsables, según fuentes de inteligencia, mantienen vínculos con actores patrocinados por el gobierno chino, lo que sitúa a esta campaña en el radar de los equipos de respuesta a incidentes y responsables de ciberseguridad (CISOs), especialmente en sectores críticos y administraciones públicas. El abuso de plataformas colaborativas como SharePoint muestra la sofisticación y el alcance de los grupos de amenazas persistentes avanzadas (APT) en el actual contexto geopolítico.
Contexto del Incidente
A mediados de junio de 2024, varios equipos de respuesta a incidentes (CSIRT) y empresas de ciberseguridad detectaron actividades anómalas en entornos Microsoft SharePoint, principalmente en organizaciones europeas y norteamericanas. Las investigaciones iniciales revelaron la explotación activa de una cadena de vulnerabilidades hasta entonces desconocidas (zero-day) en la plataforma. Los ataques se caracterizan por el uso de TTPs asociados a grupos APT chinos, como APT27 (Emissary Panda) y APT40, conocidos por su enfoque en espionaje industrial y exfiltración de información confidencial.
La campaña se alinea con patrones previos observados en operaciones de ciberespionaje apoyadas por estados, donde se prioriza la obtención de acceso persistente y la evasión de mecanismos de detección avanzados.
Detalles Técnicos
Las vulnerabilidades explotadas, identificadas provisionalmente como CVE-2024-38010 y CVE-2024-38011, afectan a versiones de Microsoft SharePoint Server 2019 y SharePoint Server Subscription Edition anteriores a la actualización de seguridad de junio de 2024. La cadena de ataque se inicia mediante una deserialización insegura de objetos .NET en el componente de gestión de documentos, lo que permite la ejecución remota de código (RCE) con privilegios elevados.
El vector inicial de compromiso suele aprovechar accesos expuestos a Internet —por ejemplo, sitios SharePoint publicados sin segmentación ni restricciones IP—. Una vez explotada la vulnerabilidad, los atacantes despliegan webshells personalizados y herramientas de post-explotación como Cobalt Strike Beacon y China Chopper, facilitando el movimiento lateral y la persistencia en la red.
Los TTPs identificados encajan con los descritos en MITRE ATT&CK bajo las técnicas T1190 (Exploitation of Remote Services), T1505.003 (Web Shell), T1078 (Valid Accounts) y T1210 (Exploitation of Remote Services para movimiento lateral). Los indicadores de compromiso (IoC) incluyen hashes de webshells, direcciones IP de servidores C2 y firmas de actividad sospechosa en logs de IIS y SharePoint ULS.
Impacto y Riesgos
El impacto de esta campaña es especialmente crítico para organizaciones que dependen de SharePoint como repositorio documental y plataforma de colaboración. Se estima que hasta un 15% de las instalaciones globales de SharePoint Server vulnerables han sido escaneadas y al menos un 3% potencialmente comprometidas, según datos recopilados mediante honeypots y análisis de tráfico.
Los riesgos principales incluyen robo de propiedad intelectual, exfiltración de credenciales, despliegue de malware adicional y, en el caso de entidades sujetas al RGPD o NIS2, la posibilidad de sanciones regulatorias ante la filtración de datos sensibles. Además, la explotación exitosa puede emplearse como punto de entrada para ataques de cadena de suministro en ecosistemas empresariales interconectados.
Medidas de Mitigación y Recomendaciones
Microsoft ha publicado parches de seguridad críticos para las versiones afectadas (KB5039217 para SharePoint Server 2019 y KB5039218 para SharePoint Server Subscription Edition). Se recomienda la aplicación inmediata de estas actualizaciones y la revisión de la exposición de instancias SharePoint a redes públicas.
Otras medidas incluyen:
– Auditoría y bloqueo de accesos externos no autorizados a SharePoint.
– Revisión exhaustiva de logs de IIS, ULS y autenticación en busca de actividad anómala.
– Implementación de reglas YARA y firmas IDS/IPS para detectar webshells y tráfico C2 asociado.
– Segmentación de red y aplicación de políticas de mínimo privilegio.
– Integración de controles Zero Trust y autenticación multifactor (MFA) obligatoria.
Opinión de Expertos
Expertos del sector, como los analistas de Mandiant y el CERT-EU, han subrayado que el uso de cadenas zero-day en aplicaciones de uso transversal como SharePoint representa una tendencia al alza entre actores estatales. “SharePoint es un vector ideal para el espionaje industrial debido a su alta concentración de información estratégica y su frecuente exposición a Internet,” señala Carlos Hernández, analista principal de amenazas en S21sec. Recomiendan revisar no solo la aplicación de parches sino también las configuraciones de acceso y la monitorización proactiva de estos entornos.
Implicaciones para Empresas y Usuarios
Para las empresas, el incidente refuerza la necesidad de priorizar la gestión proactiva de vulnerabilidades y la segmentación de aplicaciones críticas, especialmente ante el endurecimiento regulatorio de NIS2 y el RGPD. Los usuarios finales, aunque menos expuestos al vector inicial, pueden verse afectados indirectamente por fugas de información y brechas de seguridad en servicios internos.
El incidente subraya la urgencia de adoptar un enfoque holístico de seguridad, que combine la actualización continua, la detección avanzada y la respuesta a incidentes, así como la formación y concienciación de los usuarios en buenas prácticas de seguridad.
Conclusiones
La explotación de vulnerabilidades zero-day en Microsoft SharePoint por parte de actores vinculados al gobierno chino representa una amenaza significativa y en evolución para empresas y organismos públicos. La rápida aplicación de parches, la monitorización de actividad sospechosa y la adopción de arquitecturas Zero Trust son medidas imprescindibles para reducir la superficie de ataque y mitigar el impacto de futuras campañas.
(Fuente: www.bleepingcomputer.com)