En el mundo empresarial, Microsoft SharePoint es una herramienta crucial para el intercambio de documentos y la construcción de intranets. Sin embargo, la seguridad de esta herramienta está bajo amenaza debido a una vulnerabilidad de ejecución remota de código (RCE) identificada recientemente, que los atacantes ya han comenzado a explotar para ganar acceso a redes corporativas.
¿Qué es la vulnerabilidad CVE-2024-38094?
La vulnerabilidad, denominada CVE-2024-38094, afecta a SharePoint y fue solucionada por Microsoft en julio de 2024 con el paquete de actualizaciones de seguridad Patch Tuesday. Esta falla de alta severidad permite a los atacantes ejecutar código malicioso de forma remota, lo que significa que un hacker podría tomar el control del servidor de SharePoint y manipular sus datos o desplegar malware en la red de la empresa.
¿Cómo están explotando esta vulnerabilidad los atacantes?
El método de explotación de CVE-2024-38094 fue documentado recientemente en un informe de Rapid7. En este, se revela que los atacantes han utilizado un exploit de código abierto para vulnerar servidores SharePoint desactualizados y obtener un acceso inicial. Tras comprometer el servidor, el hacker suele desplegar un webshell que le permite ejecutar comandos en el servidor afectado.
Pero la cosa no queda ahí. Los atacantes van un paso más allá al comprometer una cuenta de servicio de Microsoft Exchange con privilegios de administrador de dominio. Esto les otorga acceso extendido en la red, permitiéndoles instalar herramientas adicionales y crear conflictos con el antivirus legítimo, debilitando aún más la seguridad.
Estrategias de los atacantes: instalación de software y manipulación de registros
Una de las tácticas utilizadas es la instalación de un antivirus llamado Horoung Antivirus, que crea conflictos con los sistemas de seguridad instalados, permitiendo al atacante instalar scripts adicionales de código abierto. En una etapa posterior, despliegan el programa Mimikatz para extraer credenciales y la herramienta Fast Reverse Proxy (FRP) para obtener acceso remoto, evadiendo la detección del firewall corporativo.
Para ocultar sus rastros, los atacantes desactivan Windows Defender, manipulan los registros de eventos y alteran los logs de sistema en los equipos comprometidos. También utilizan otras herramientas avanzadas como everything.exe, Certify.exe y Kerbrute para escanear la red y comprometer la seguridad de Active Directory.
¿Qué pueden hacer las empresas para protegerse?
Desde WWWhatsnew.com recomendamos que las empresas mantengan sus entornos de Microsoft 365 actualizados, especialmente sus servidores SharePoint. Asegurarse de que todas las actualizaciones críticas están instaladas es esencial para cerrar esta puerta de entrada. Asimismo, implementar un monitoreo continuo del sistema y revisar periódicamente las políticas de seguridad puede ayudar a detectar comportamientos anómalos en la red.
Este tipo de vulnerabilidades demuestra lo importante que es no solo actualizar el software, sino también contar con un plan de respuesta ante incidentes y una estrategia de seguridad que contemple posibles ataques a múltiples niveles.