La Administración Nacional de Seguridad Nuclear (NNSA) ha sido víctima de un sofisticado ataque cibernético que explota una vulnerabilidad previamente desconocida en Microsoft SharePoint, marcando una de las violaciones de seguridad más importantes que se dirigen a la infraestructura crítica de defensa de los Estados Unidos este año.
Los grupos de piratería afiliados al gobierno chino aprovecharon una exploit de día cero que afectó a las instalaciones de SharePoint locales para infiltrarse en más de 50 organizaciones, incluida la agencia responsable de mantener los reactores submarinos nucleares de la Marina.
Control de llave
1. Los piratas informáticos chinos violaron la Administración de Seguridad Nuclear de los Estados Unidos a través de SharePoint Zero-Day Exploit.
2. No se roban datos clasificados debido al uso de sistemas basados en la nube.
3. Se requieren actualizaciones inmediatas de SharePoint.
Ataque de NNSA SharePoint
La NNSA, responsable de proporcionar reactores nucleares a la flota submarina de la Marina de los EE. UU. Y mantener el almacenamiento de armas nucleares de Estados Unidos, se convirtió en daños colaterales en lo que los investigadores de seguridad describen como una explotación sofisticada de ejecución de código remoto (RCE).
La vulnerabilidad, que afecta las versiones del servidor de SharePoint 2019 y la edición de suscripción, permite a los atacantes evitar mecanismos de autenticación y ejecutar código arbitrario en los sistemas de destino.
Según una noticia de Bloomberg informeEl vector de ataque explotó una vulnerabilidad de deserialización combinada con un defecto de derivación de autenticación, los cuales se demostraron inicialmente en el concurso de piratería PWN2Own Vancouver en mayo de 2024.
La cadena de exploit permite a los actores de amenaza obtener acceso no autorizado a los servidores de SharePoint, extraer datos confidenciales, cosechar credenciales de usuario y potencialmente pivote a la infraestructura de red conectada.
Afortunadamente, los funcionarios del Departamento de Energía confirmaron que no se comprometió la información nuclear clasificada o confidencial durante el incidente.
La estrategia de migración de la nube Microsoft 365 de la agencia parece haber limitado el impacto del ataque, ya que el día cero se dirige específicamente a las implementaciones de SharePoint en las instalaciones en lugar del servicio en línea de SharePoint basado en la nube.
“El departamento se vio mínimamente afectado debido a su uso generalizado de la nube Microsoft M365 y los sistemas de ciberseguridad muy capaces”, declaró un portavoz del DOE.
Respuesta de Microsoft
Microsoft tiene liberado Parches de seguridad de emergencia que abordan la vulnerabilidad en todas las versiones de servidor de SharePoint afectadas.
El Centro de Respuesta de Seguridad de la Compañía (MSRC) emitió boletines de seguridad críticos que instan a la implementación de parches inmediato, enfatizando la calificación de gravedad CVSS 9.8 asignada a esta cadena de exploits.
El incidente destaca las crecientes preocupaciones sobre la seguridad de la cadena de suministro y los riesgos planteados por las instalaciones de software empresarial local.
Los expertos en ciberseguridad advierten que la naturaleza sofisticada de este ataque demuestra las capacidades en evolución de los grupos avanzados de amenaza persistente (APT) en la explotación de vulnerabilidades de día cero antes de que los proveedores puedan desarrollar parches.
Se recomienda a las organizaciones que ejecutan entornos de SharePoint locales que apliquen inmediatamente las actualizaciones de seguridad de Microsoft y realicen evaluaciones integrales de respuesta a incidentes para identificar posibles indicadores de compromiso.
Aumentar la detección, reducir la fatiga de alerta, acelerar la respuesta; Todo con una caja de arena interactiva construida para equipos de seguridad -> Prueba cualquiera.
