Ciberdelincuentes explotan activamente vulnerabilidades críticas en Exchange y SharePoint Server.

Ciberdelincuentes explotan activamente vulnerabilidades críticas en Exchange y SharePoint Server.

Hackers explotan activamente vulnerabilidades críticas en Exchange Server y SharePoint Server

Microsoft ha emitido una alerta global advirtiendo sobre el aumento en la explotación de vulnerabilidades críticas en las versiones on-premises de Exchange Server y SharePoint Server por parte de actores maliciosos. Estas plataformas, ampliamente utilizadas en entornos corporativos, son objetivos prioritarios debido a su rol central en la gestión de correos electrónicos, colaboración y almacenamiento de documentos.

Naturaleza de las vulnerabilidades

Las vulnerabilidades explotadas permiten a los atacantes ejecutar código arbitrario, escalar privilegios o realizar ataques de denegación de servicio (DoS). Entre las más críticas se encuentran:

  • CVE-2023-21709 (Exchange Server): Permite ejecución remota de código mediante solicitudes maliciosas.
  • CVE-2023-29357 (SharePoint Server): Facilita la elevación de privilegios sin autenticación.
  • CVE-2023-32031 (SharePoint Server): Vulnerabilidad de spoofing que puede engañar a los usuarios.

Tácticas de explotación observadas

Los grupos de amenazas están combinando estas vulnerabilidades con técnicas avanzadas como:

  • Cadenas de explotación para bypassear mecanismos de autenticación.
  • Uso de web shells para mantener acceso persistente.
  • Movimiento lateral mediante herramientas como Mimikatz.
  • Exfiltración de datos sensibles mediante conexiones cifradas.

Recomendaciones de mitigación

Microsoft recomienda acciones inmediatas para organizaciones que aún no hayan aplicado los parches:

  • Aplicar las actualizaciones de seguridad más recientes para Exchange Server y SharePoint Server.
  • Implementar segmentación de red para limitar el movimiento lateral.
  • Monitorear registros de IIS y eventos de autenticación inusuales.
  • Restringir el acceso a los servidores afectados mediante listas de control de acceso (ACLs).
  • Considerar la migración a soluciones cloud como Microsoft 365 que incluyen protecciones automáticas.

Implicaciones para la seguridad corporativa

Estas vulnerabilidades representan un riesgo significativo porque:

  • Permiten comprometer infraestructuras críticas de comunicación empresarial.
  • Facilitan el robo de credenciales y datos confidenciales.
  • Pueden servir como punto de entrada para ataques ransomware.
  • Afectan especialmente a organizaciones con ciclos de parcheo lentos.

El patrón de explotación sugiere que los atacantes están priorizando objetivos estratégicos en sectores gubernamentales, financieros y de salud. Las organizaciones deben considerar estas vulnerabilidades como de alto riesgo y priorizar su remediación.

Para más detalles técnicos sobre las vulnerabilidades y su explotación, consulta la Fuente original.

Comentarios

Aún no hay comentarios. ¿Por qué no comienzas el debate?

Deja una respuesta