Hackers explotan activamente vulnerabilidades críticas en Exchange Server y SharePoint Server
Microsoft ha emitido una alerta global advirtiendo sobre el aumento en la explotación de vulnerabilidades críticas en las versiones on-premises de Exchange Server y SharePoint Server por parte de actores maliciosos. Estas plataformas, ampliamente utilizadas en entornos corporativos, son objetivos prioritarios debido a su rol central en la gestión de correos electrónicos, colaboración y almacenamiento de documentos.
Naturaleza de las vulnerabilidades
Las vulnerabilidades explotadas permiten a los atacantes ejecutar código arbitrario, escalar privilegios o realizar ataques de denegación de servicio (DoS). Entre las más críticas se encuentran:
- CVE-2023-21709 (Exchange Server): Permite ejecución remota de código mediante solicitudes maliciosas.
- CVE-2023-29357 (SharePoint Server): Facilita la elevación de privilegios sin autenticación.
- CVE-2023-32031 (SharePoint Server): Vulnerabilidad de spoofing que puede engañar a los usuarios.
Tácticas de explotación observadas
Los grupos de amenazas están combinando estas vulnerabilidades con técnicas avanzadas como:
- Cadenas de explotación para bypassear mecanismos de autenticación.
- Uso de web shells para mantener acceso persistente.
- Movimiento lateral mediante herramientas como Mimikatz.
- Exfiltración de datos sensibles mediante conexiones cifradas.
Recomendaciones de mitigación
Microsoft recomienda acciones inmediatas para organizaciones que aún no hayan aplicado los parches:
- Aplicar las actualizaciones de seguridad más recientes para Exchange Server y SharePoint Server.
- Implementar segmentación de red para limitar el movimiento lateral.
- Monitorear registros de IIS y eventos de autenticación inusuales.
- Restringir el acceso a los servidores afectados mediante listas de control de acceso (ACLs).
- Considerar la migración a soluciones cloud como Microsoft 365 que incluyen protecciones automáticas.
Implicaciones para la seguridad corporativa
Estas vulnerabilidades representan un riesgo significativo porque:
- Permiten comprometer infraestructuras críticas de comunicación empresarial.
- Facilitan el robo de credenciales y datos confidenciales.
- Pueden servir como punto de entrada para ataques ransomware.
- Afectan especialmente a organizaciones con ciclos de parcheo lentos.
El patrón de explotación sugiere que los atacantes están priorizando objetivos estratégicos en sectores gubernamentales, financieros y de salud. Las organizaciones deben considerar estas vulnerabilidades como de alto riesgo y priorizar su remediación.
Para más detalles técnicos sobre las vulnerabilidades y su explotación, consulta la Fuente original.