Microsoft corrige vulnerabilidad crítica de ejecución remota de código en SharePoint (CVE-2024-45659)
Introducción
Microsoft ha publicado recientemente un parche de seguridad para solventar una vulnerabilidad crítica de ejecución remota de código (RCE) en SharePoint, identificada como CVE-2024-45659. Esta vulnerabilidad, calificada como de severidad “importante” según la escala de Microsoft y con una puntuación CVSS de 8.8, afecta a entornos empresariales que utilicen SharePoint Server, exponiendo a organizaciones de todos los tamaños a ataques que no requieren condiciones especiales para su explotación. Dada la naturaleza y el uso extendido de SharePoint en entornos colaborativos y de gestión documental, el potencial de impacto es elevado, y su explotación podría derivar en compromisos graves de integridad y confidencialidad de la información corporativa.
Contexto del Incidente o Vulnerabilidad
SharePoint es una de las plataformas de colaboración empresarial más utilizadas a nivel global, con una cuota de mercado superior al 60% en organizaciones Fortune 500. El atractivo de SharePoint para los actores maliciosos reside en la centralización de datos, flujos de trabajo y documentos críticos. La vulnerabilidad CVE-2024-45659 fue reportada como parte del ciclo mensual de actualizaciones de seguridad de Microsoft, dentro del Patch Tuesday de junio de 2024. No se ha informado, hasta la fecha, de explotación activa en el entorno salvaje (in-the-wild), pero dada la facilidad de explotación y el impacto potencial, la comunidad de ciberseguridad ha emitido alertas de alto riesgo.
Detalles Técnicos
La vulnerabilidad reside en la deserialización de datos no confiables dentro del componente de Microsoft Office SharePoint. Esta debilidad permite a un atacante remoto ejecutar código arbitrario en el contexto del proceso vulnerable, sin necesidad de autenticación previa ni interacción del usuario, lo que facilita ataques automatizados. El vector de ataque principal implica el envío de cargas maliciosas especialmente diseñadas a través de solicitudes HTTP dirigidas a los endpoints de SharePoint expuestos.
– **CVE**: CVE-2024-45659
– **CVSS**: 8.8 (Alta)
– **Versiones afectadas**: SharePoint Server Subscription Edition, SharePoint Server 2019 y versiones previas no actualizadas
– **TTP MITRE ATT&CK**: T1190 (Exploit Public-Facing Application), T1059 (Command and Scripting Interpreter)
– **Herramientas y frameworks**: Aunque hasta el momento no existen exploits públicos integrados en frameworks populares como Metasploit o Cobalt Strike, la naturaleza de la vulnerabilidad y la documentación técnica disponible hacen prever que su integración es inminente.
– **Indicadores de compromiso (IoC)**: Solicitudes HTTP anómalas dirigidas a endpoints SharePoint, creación de procesos inusuales en el servidor y ejecución de comandos inesperados en el contexto de IIS/SharePoint.
Impacto y Riesgos
La explotación exitosa permite la ejecución de código arbitrario en el servidor SharePoint, lo que puede derivar en:
– Toma de control total del servidor comprometido
– Acceso o exfiltración de documentos confidenciales
– Pivoting hacia otros sistemas internos de la red
– Implantación de malware o ransomware dirigido
– Incumplimiento de normativas como GDPR y NIS2 por brechas de datos
Según estimaciones de consultoras de ciberseguridad, hasta un 35% de las instalaciones de SharePoint en Europa podrían estar vulnerables si no aplican el parche de inmediato, dada la frecuencia de despliegues on-premises no actualizados.
Medidas de Mitigación y Recomendaciones
Microsoft recomienda aplicar de forma urgente los parches de seguridad correspondientes publicados en el ciclo de actualizaciones de junio de 2024. Se aconseja:
– Actualizar SharePoint Server a las versiones corregidas sin demora
– Monitorizar logs de acceso y actividad anómala en los servidores SharePoint (especialmente solicitudes POST no autenticadas)
– Restringir el acceso externo a los endpoints de administración de SharePoint
– Implementar segmentación de red y controles de acceso estrictos
– Utilizar EDR y WAFs actualizados para detectar y bloquear cargas sospechosas
Opinión de Expertos
Expertos de firmas como CrowdStrike y SANS Institute advierten que la tendencia hacia la explotación automatizada de vulnerabilidades RCE en aplicaciones empresariales expuestas, como SharePoint, requiere una gestión proactiva de parches. Señalan que la deserialización insegura sigue siendo una de las causas más frecuentes de RCE, y que los equipos SOC deben priorizar la vigilancia sobre este tipo de vectores.
Implicaciones para Empresas y Usuarios
La exposición prolongada a esta vulnerabilidad puede suponer no solo la interrupción operativa, sino también sanciones económicas relevantes bajo el Reglamento General de Protección de Datos (GDPR) y la Directiva NIS2, que exigen la protección proactiva de activos críticos. Las empresas deben revisar sus procesos de gestión de vulnerabilidades, asegurar la actualización continua de sistemas y reforzar la formación de sus equipos técnicos.
Conclusiones
La vulnerabilidad CVE-2024-45659 en SharePoint representa una amenaza seria para la seguridad de la información corporativa y la continuidad operativa. La rapidez en la aplicación de parches y la adopción de medidas adicionales de protección son esenciales para evitar incidentes de seguridad de alto impacto. La tendencia de explotación de vulnerabilidades críticas en aplicaciones empresariales refuerza la necesidad de una ciberdefensa en profundidad y una vigilancia constante por parte de los responsables de seguridad.
(Fuente: feeds.feedburner.com)