El exploit de SharePoint se utilizó contra víctimas de alto perfil, como la Administración Nacional de Seguridad Nuclear de EE. UU., el Departamento de Seguridad Nacional, el Departamento de Energía y el Departamento de Salud y Servicios Humanos, pero muchos otros también se vieron afectados. Esto es lo que esto significa para usted.
El 20 de julio, Microsoft emitió una parche de emergencia Junto con una advertencia, se descubrió que atacantes explotaban activamente una vulnerabilidad crítica en servidores locales de SharePoint para eludir la autenticación. De tener éxito, los atacantes podrían acceder a contenido privado de SharePoint, incluyendo configuraciones internas y sistemas de archivos.
Pronto se supo que la falla se había rastreado como CVE-2025-53770 y una variante CVE-2025-53771, conocidos colectivamente como ToolShell, se estaban utilizando para distribuir ransomware.
Días después, quedó claro que la solución de SharePoint llegó después de un parche de seguridad fallido A principios de mes, Microsoft admitió que su solución inicial a la falla —identificada en una competición de hackers en mayo— no funcionó, lo que la obligó a publicar parches adicionales para resolver el problema.
Para entonces, los adversarios del Estado nacional China, incluidos Tifón de lino y tifón violeta – así como la pandilla Tormenta-2603 – había cobrado víctimas, entre ellas la Administración Nacional de Seguridad Nuclear de Estados Unidos, el Departamento de Seguridad Nacional, el Departamento de Energía y el Departamento de Salud y Servicios Humanos.
Microsoft también admitió que otros grupos estaban utilizando la vulnerabilidad más ampliamente. ransomware incluido como parte de los ataques. Se cree que los ataques de Microsoft SharePoint ToolShell vieron a los adversarios comprometiendo 396 sistemas SharePoint en más de 145 organizaciones en 41 países.
Con objetivos tan destacados, los ataques a SharePoint podrían parecer ajenos al día a día de las empresas. Sin embargo, el incidente debería ser una llamada de atención para cualquier organización que dependa de los servicios de Microsoft, plataformas en la nube o herramientas de colaboración locales. Si los atacantes logran persistir en entornos gubernamentales protegidos, podrán explotar fácilmente los sistemas empresariales vulnerables utilizando las mismas tácticas.
Entonces, ¿qué significa la vulnerabilidad de SharePoint para las empresas y cómo pueden mejorar su postura de seguridad para evitar quedar atrapados en el fuego cruzado de ataques como estos?
Seguridad por oscuridad
Los ataques de SharePoint ToolShell demolieron el peligroso mito de la "seguridad por oscuridad": la falsa creencia de que las organizaciones más pequeñas no serán el objetivo porque no son lo suficientemente importantes, dice Dario Perfettibile, vicepresidente y director general de operaciones europeas en Kiteworks. SGSI.online.
El "alcance masivo" de la brecha revela cómo los ciberataques modernos "utilizan la explotación automatizada para atacar vulnerabilidades a gran escala", en lugar de centrarse únicamente en organizaciones específicas, afirma. "Con más de 9,300 servidores SharePoint expuestos en línea, los atacantes utilizaron el análisis automatizado para identificar miles de sistemas vulnerables y explotaron todo lo que encontraron".
La evolución de la campaña, que pasó del espionaje estatal a ataques oportunistas de ransomware, lo ilustra a la perfección, afirma Perfettibile. «Storm-2603 vio los servidores expuestos como oportunidades de monetización».
Las vulnerabilidades de SharePoint también pusieron de manifiesto cómo la aplicación de parches por sí sola no siempre resuelve el problema si los atacantes ya se encuentran ocultos en los sistemas tras el acceso inicial. En el caso de SharePoint, los atacantes emplearon técnicas de sigilo que persistieron incluso después de la aplicación de parches, aprovechando la vulnerabilidad de los controles internos.
El exploit en sí mismo es bastante preocupante, pero otro aspecto a considerar es cómo operan los atacantes una vez dentro, afirma Pierre Noel, CISO de campo para EMEA en Expel. "Han convertido en productos básicos técnicas como 'viviendo de la tierra, utilizando las mismas herramientas de administración que usa tu equipo de TI. Lo que antes estaba reservado para atacantes sofisticados ahora está integrado en todas las estrategias de ransomware.
Con esto en mente, las mismas tácticas utilizadas para el espionaje a nivel nacional “pueden fácilmente usarse contra un minorista o un proveedor de servicios de salud del mercado medio”, advierte.
Pobre visibilidad
Para agravar el riesgo, muchas organizaciones tienen poca visibilidad de sus herramientas de colaboración, lo que deja puntos ciegos en las evaluaciones de riesgos. Si bien las herramientas de colaboración son cruciales para la productividad, «raramente reciben el mismo nivel de supervisión que los endpoints o los firewalls», afirma Noel. «Los registros están incompletos, las integraciones de seguridad se consideran a posteriori y la mayoría de las evaluaciones de riesgos las omiten por completo, dejando las plataformas donde los empleados realmente operan sin supervisión y expuestas».
Licencias de Microsoft E3 Puede limitar los registros de seguridad bajo carga y retrasar la entrega hasta 72 horas, mientras que la mayoría de las plataformas solo conservan los registros de auditoría entre 90 días y un año, afirma Perfettibile. «Esto es demasiado poco tiempo, considerando que las investigaciones forenses revelaron que las vulnerabilidades de SharePoint ocurrieron meses antes de su detección».
Esta "monitorización fragmentada" también crea las condiciones perfectas para la exfiltración de datos sin ser detectada, advierte Perfettibile. "Los atacantes pueden distribuir sus actividades en múltiples plataformas para mantenerse por debajo de los umbrales de detección individuales de cada sistema, mientras que los equipos de seguridad carecen del análisis de comportamiento multiplataforma necesario para detectar patrones".
Medidas de Seguridad Técnicas y Organizativas
Los ataques a SharePoint nos recuerdan que todas las empresas son vulnerables a las brechas de seguridad, incluso si se detecta que los atacantes atacan primero a objetivos de alto perfil. Teniendo esto en cuenta, hay algunas medidas clave que puede tomar ahora para protegerse.
Saeed Abbasi, gerente sénior de gestión de productos de la Unidad de Investigación de Amenazas de Qualys, aconseja a las empresas que se sometan a una auditoría de detección de emergencia para mapear toda su superficie de ataque de SharePoint, tanto local como en línea. «Identifiquen cada activo expuesto a internet, su versión y su propietario, y luego clasifiquen para su remediación según la exposición y la vulnerabilidad, implementando parches críticos bajo estrictos acuerdos de nivel de servicio».
Para cualquier activo en el que no sea posible aplicar un parche inmediato, Abbasi recomienda aplicar “técnicas de remediación avanzadas”, como aislar el host o implementar mitigaciones temporales, hasta que se pueda implementar una solución permanente.
Simultáneamente, conviene reforzar todas las configuraciones. "Imponer la autenticación multifactor y el acceso condicional, revocar el acceso público y auditar los complementos de terceros", afirma Abbasi.
En términos más generales, para protegerse contra ataques similares a los de SharePoint, las organizaciones deben implementar una arquitectura de confianza cero que verifique cada solicitud, incluso las de sistemas internos de confianza, aconseja Perfettibile. «Esto es importante, ya que los atacantes utilizaron herramientas legítimas y claves criptográficas robadas para mantener la persistencia tras el ataque inicial».
La segmentación crítica de datos es esencial, añade. «Aísle las plataformas de colaboración de los sistemas centrales de la empresa, imponga el acceso con privilegios mínimos por defecto en lugar de compartir abiertamente, y asegúrese de que una brecha en una plataforma no se propague a toda su infraestructura».
Marcos como ISO 27001, Que ayuden a evaluar su riesgo individual también pueden reducir la posibilidad de verse afectado por vulnerabilidades como la falla de SharePoint.
Como parte de esto, realizar simulacros periódicos de vulneraciones en plataformas de colaboración resulta útil para identificar puntos ciegos. "Pruebe si su equipo puede detectar claves de autenticación robadas, identificar movimientos laterales entre plataformas y ejecutar medidas de contención cuando se hayan evadido los parches", afirma Perfettibile.
Al mismo tiempo, las empresas pueden evaluar los riesgos de su cadena de suministro de Microsoft al comprender que son vulnerables a infracciones multiinquilino que afecten a otras organizaciones, afirma Perfettibile. «Microsoft controla sus claves de cifrado, lo que las hace vulnerables a citaciones sin fundamento, y los complementos de SharePoint de terceros crean vectores de ataque adicionales».
