El Tesoro Nacional de Sudáfrica, víctima de una campaña masiva de explotación contra servidores Microsoft SharePoint
**Introducción**
El reciente descubrimiento de una campaña masiva de explotación dirigida a servidores Microsoft SharePoint “on-premises” ha puesto en jaque a organizaciones públicas y privadas de todo el mundo. Entre las víctimas más destacadas se encuentra el Tesoro Nacional de Sudáfrica, junto a otros organismos gubernamentales y empresas de diferentes países. El incidente evidencia una vez más la criticidad de mantener actualizados los sistemas y la sofisticación de los actores de amenazas, que aprovechan vulnerabilidades conocidas en entornos ampliamente desplegados.
**Contexto del Incidente**
Durante el segundo trimestre de 2024, distintos equipos de respuesta a incidentes han detectado una oleada de ataques coordinados que explotan vulnerabilidades en implementaciones locales de Microsoft SharePoint. El Tesoro Nacional de Sudáfrica se suma así a una lista de al menos media docena de víctimas confirmadas en el país, mientras que la campaña se extiende a otras regiones, afectando infraestructuras críticas y entidades de alto perfil. El vector común ha sido la explotación de servidores SharePoint desactualizados o mal configurados, lo que permitió a los atacantes el acceso inicial y la posterior escalada de privilegios.
**Detalles Técnicos**
Las investigaciones preliminares indican que los actores de amenazas han aprovechado principalmente la vulnerabilidad CVE-2023-29357, una falla de elevación de privilegios en Microsoft SharePoint Server. Esta vulnerabilidad, catalogada con una puntuación CVSS de 9.8 (crítica), permite a un atacante remoto autenticado ejecutar código arbitrario en el contexto del servicio SharePoint, comprometiendo completamente el sistema afectado.
El modus operandi observado incluye:
– **Vector de Ataque:** Envío de peticiones especialmente diseñadas al endpoint vulnerable, lo que permite la ejecución de comandos arbitrarios utilizando el contexto de la cuenta del servicio SharePoint.
– **TTPs MITRE ATT&CK:**
– *Initial Access (T1190):* Explotación de aplicaciones públicas.
– *Execution (T1059):* Uso de PowerShell y comandos remotos.
– *Privilege Escalation (T1068):* Elevación de privilegios mediante explotación local.
– *Lateral Movement (T1021):* Uso de credenciales obtenidas para desplazamiento lateral en la red.
– *Persistence (T1136):* Creación de nuevas cuentas de usuario.
– **Herramientas y Frameworks:** Se han detectado cargas maliciosas desplegadas a través de scripts PowerShell, así como uso de frameworks como Cobalt Strike y, en menor medida, Metasploit para establecer canales C2 y persistencia avanzada.
– **Indicadores de Compromiso (IoC):**
– Creación inusual de cuentas de usuario con privilegios elevados.
– Actividad de red hacia dominios sospechosos identificados en listas negras.
– Modificación de archivos críticos en rutas de SharePoint.
Las versiones afectadas son principalmente SharePoint Server 2019, 2016 y algunas instancias de 2013 aún en producción, especialmente aquellas sin los últimos parches acumulativos publicados por Microsoft hasta mayo de 2024.
**Impacto y Riesgos**
La explotación exitosa de estas vulnerabilidades permite a los atacantes comprometer la confidencialidad, integridad y disponibilidad de datos críticos. En el caso del Tesoro Nacional de Sudáfrica, el acceso podría haber facilitado la exfiltración de información sensible relacionada con políticas fiscales, presupuestos y datos financieros nacionales.
A nivel global, Microsoft estima que hasta un 15% de las implementaciones locales de SharePoint están potencialmente expuestas, dado el retraso en la aplicación de parches. Los riesgos incluyen:
– Robo de credenciales y datos confidenciales.
– Interrupción de servicios esenciales.
– Uso de la infraestructura comprometida como pivot para ataques adicionales.
– Sanciones regulatorias bajo marcos como GDPR y NIS2 en la UE, por fallos en la protección de datos y notificación de incidentes.
**Medidas de Mitigación y Recomendaciones**
Las principales recomendaciones técnicas incluyen:
1. **Aplicación inmediata de parches:** Instalar los parches de seguridad publicados por Microsoft que corrigen CVE-2023-29357 y otras vulnerabilidades asociadas.
2. **Revisión de configuraciones:** Auditar la configuración de los servidores SharePoint para eliminar cuentas y permisos innecesarios.
3. **Monitorización avanzada:** Implementar reglas de detección en SIEM/SOC para identificar IoC relacionados (p.ej., creación de cuentas sospechosas, tráfico inusual).
4. **Segmentación de red:** Limitar la exposición de SharePoint a Internet y restringir el acceso por VPN o redes internas.
5. **Pruebas de penetración periódicas:** Realizar evaluaciones de seguridad para identificar vulnerabilidades residuales.
**Opinión de Expertos**
Expertos en ciberseguridad como Kevin Beaumont y el equipo de DFIR de Mandiant advierten que “las campañas dirigidas a software empresarial ampliamente desplegado y con ciclo de actualización lento, como SharePoint, seguirán en aumento”. Además, señalan la importancia de la inteligencia de amenazas y la colaboración internacional para detectar y mitigar rápidamente este tipo de incidentes.
**Implicaciones para Empresas y Usuarios**
Las organizaciones que mantienen instancias locales de SharePoint deben considerar la obsolescencia de este tipo de despliegues y valorar la migración a modelos SaaS mejor gestionados y actualizados. Los departamentos de TI y CISO tienen la responsabilidad de garantizar la resiliencia y el cumplimiento normativo, especialmente ante la entrada en vigor de nuevas directivas europeas como NIS2, que endurecen los requisitos de reporte y gestión de ciberincidentes.
**Conclusiones**
La brecha en el Tesoro Nacional de Sudáfrica y otras entidades subraya la urgencia de adoptar una postura proactiva en la gestión de vulnerabilidades, reforzando el parcheo, la monitorización y la formación en ciberseguridad. El caso SharePoint 2024 es un ejemplo paradigmático de cómo los recursos críticos pueden verse comprometidos cuando se subestiman las amenazas persistentes y la importancia de la actualización continua.
(Fuente: www.darkreading.com)