Microsoft ha emitido una advertencia de alerta de seguridad urgente de “ataques activos” dirigidos a los servidores de SharePoint utilizados por agencias gubernamentales y empresas en todo el mundo.
Los ataques, descubiertos durante el fin de semana, explotan una vulnerabilidad previamente desconocida en el software de intercambio de documentos, lo que provocó una acción inmediata de los investigadores de Microsoft y de Microsoft.
La Oficina Federal de Investigaciones (FBI) le dijo a Newsweek el domingo que es consciente de los incidentes y trabajando con socios federales y privados para abordar la amenaza. El Washington Post informó por primera vez los hacks, citando actores no identificados que explotaron el defecto para atacar a las agencias y empresas estadounidenses e internacionales en los últimos días.
Newsweek se comunicó con Microsoft y la Agencia de Seguridad de Ciberseguridad e Infraestructura (CISA) el domingo por correo electrónico para hacer comentarios.
Por que importa
Este ataque de día cero representa una importante amenaza de ciberseguridad para las organizaciones que dependen de SharePoint para la gestión y colaboración de documentos internos.
La vulnerabilidad afecta a las agencias gubernamentales, las escuelas, los sistemas de atención médica, incluidos los hospitales y las grandes empresas empresas, con atacantes sin pasar por alto la autenticación multifactor y las protecciones de inicio de sesión único para obtener acceso privilegiado.
Que saber
La vulnerabilidad afecta solo a los servidores de SharePoint locales utilizados dentro de las organizaciones, no en el servicio en línea de SharePoint basado en la nube de Microsoft.
Michael Sikorski, CTO y Jefe de Inteligencia de Amenazas para la Unidad 42 en las Redes Palo Alto, dijo a Newsweek en un comunicado de correo electrónico que “los atacantes están evitando los controles de identidad, incluidos MFA y SSO, para obtener acceso privilegiado. Una vez dentro, están exfiltrando datos confidenciales, implementan backdoors y las teclas criplográficas privilegiadas”.
Según Sikorski, los atacantes ya han establecido un punto de apoyo en sistemas comprometidos, lo que hace que los parches solos no fueran insuficientes para eliminar completamente la amenaza. El compromiso se extiende más allá de SharePoint debido a su profunda integración con la plataforma de Microsoft, incluidos Office, Teams, OneDrive y Outlook. “Lo que hace que esto sea especialmente preocupante es la profunda integración de SharePoint con la plataforma de Microsoft”, dijo Sikorski. “Un compromiso no permanece contenido, abre la puerta a toda la red”.
Microsoft ha lanzado una actualización de seguridad para la edición de suscripción de SharePoint y está desarrollando parches para las versiones de 2016 y 2019. La compañía recomienda que las organizaciones que no puedan aplicar inmediatamente las medidas de protección deben desconectar sus servidores de Internet hasta que las actualizaciones estén disponibles.
Archivo: un letrero y un logotipo de Microsoft se muestran en la sede de la compañía, el viernes 4 de abril de 2025, en Redmond, Washington File: se muestran un signo y logotipo de Microsoft en la sede de la compañía, el viernes 4 de abril de 2025, en Redmond, Washington (AP Photo/Jason Redmond, Archivo, Archivo, Archivo, Archivo, Archivo, Archivo, Archivo, Archivo, Archivo, Archivo, Archivo, Archivo
Lo que la gente dice
Microsoft Security Team en una declaración: “Recomendamos actualizaciones de seguridad que los clientes deben aplicar de inmediato”.
Michael Sikorski, CTO y Jefe de Inteligencia de Amenazas para la Unidad 42 en Palo Alto Networks, le dijo a Newsweek: “Si tiene SharePoint On-Prem expuesto a Internet, debe asumir que se ha visto comprometido en este punto. Esto es una gran severidad, las amenazas de alta razón. e involucrar la respuesta de incidentes profesionales “.
La Agencia de Seguridad de Ciberseguridad e Infraestructura dijo el domingo: “CISA es consciente de la explotación activa de una nueva vulnerabilidad de ejecución de código remoto (RCE) que permite el acceso no autorizado a los servidores de SharePoint en las instalaciones. Mientras que el alcance y el impacto continúan evaluados, las nuevas vulnerabilidades comunes y las exposiciones (CVE), CVE-2025-5370, es una variadora existente en las vulnerabilidades existentes de las vulnerabilidades existentes de la variadora existente de la variadora existente de las variadores existentes de la variadora existente de la variadora existente de la variadora existente de la variadora existente de las variadores existentes de las variadores existentes de las variadores existentes de las variadores existentes de las variadores existentes de las variadores existentes de las variadores existentes de las variadores existentes de las variadores existentes de las variadores existentes de las variadores existentes de la variadora existente. CVE-2025-49706 y representa un riesgo para las organizaciones.
El FBI le dijo a Newsweek en una respuesta por correo electrónico que son: “Consciente de los ataques y trabajando estrechamente con socios federales y privados”, aunque se negaron a proporcionar detalles operativos adicionales.
Que pasa después
Las organizaciones que utilizan las versiones afectadas de SharePoint enfrentan decisiones inmediatas sobre la desconexión de servidores de Internet hasta que los parches estén disponibles.
Palo Alto Networks está notificando activamente a los clientes afectados y trabajando estrechamente con el Centro de Respuesta a Seguridad de Microsoft para proporcionar inteligencia de amenazas actualizada. Microsoft continúa desarrollando parches para versiones más antiguas de SharePoint, con detalles de la línea de tiempo aún por anunciar.
