Entrada

Hackers explotando una vulnerabilidad zero-day en SharePoint, según afirman los investigadores, están atacando a agencias gubernamentales.

Publicado
Por TheCodic
2 min de lectura

microsoft glitch

Image Credits:Bryce Durbin / TechCrunch

Los hackers detrás de la primera oleada de ataques que explotaron una vulnerabilidad zero-day en los servidores de Microsoft SharePoint han atacado principalmente a organizaciones gubernamentales, según los investigadores así como informes de noticias.

Durante el fin de semana, la agencia estadounidense de ciberseguridad CISA publicó una alerta, advirtiendo que los hackers estaban explotando un bug previamente desconocido — conocido como un “zero-day” — en el producto de gestión de datos empresariales de Microsoft, SharePoint. Aunque aún es pronto para sacar conclusiones definitivas, parece que los hackers que comenzaron a abusar de este defecto estaban atacando a organizaciones gubernamentales, según Silas Cutler, el principal investigador de Censys, una empresa de ciberseguridad que monitorea las actividades de hacking en internet.

“Parece que la explotación inicial fue contra un conjunto estrecho de objetivos,” dijo Cutler a TechCrunch. “Probablemente relacionados con el gobierno.”

“Este es un caso que evoluciona rápidamente. La explotación inicial de esta vulnerabilidad probablemente fue bastante limitada en términos de objetivos, pero a medida que más atacantes aprendan a replicar la explotación, es probable que veamos brechas como resultado de este incidente,” dijo Cutler.

¿Tienes más información sobre estos ataques a SharePoint? Nos encantaría saber de ti. Desde un dispositivo y red no laborales, puedes contactar a Lorenzo Franceschi-Bicchierai de manera segura a través de Signal en +1 917 257 1382, o a través de Telegram y Keybase @lorenzofb, o por correo electrónico.

Ahora que la vulnerabilidad está fuera, y aún no está completamente parcheada por Microsoft, es posible que otros hackers que no trabajan necesariamente para el gobierno se unan y comiencen a abusar de ella, dijo Cutler.

Cutler añadió que él y sus colegas están viendo entre 9,000 y 10,000 instancias vulnerables de SharePoint accesibles desde internet, pero esto podría cambiar. Eye Security, que fue la primera en publicar la existencia del bug, informó ver un número similar, diciendo que sus investigadores escanearon más de 8,000 servidores de SharePoint en todo el mundo y encontraron evidencia de docenas de servidores comprometidos.

Dado el número limitado de objetivos y los tipos de objetivos al principio de la campaña, Cutler explicó que es probable que los hackers fueran parte de un grupo gubernamental, comúnmente conocido como un ataque persistente avanzado.

The Washington Post informó el domingo que los ataques se dirigieron a agencias federales y estatales de EE.UU., así como a universidades y empresas de energía, entre otros objetivos comerciales.

Microsoft dijo en un blog que la vulnerabilidad solo afecta a las versiones de SharePoint que están instaladas en redes locales, y no a las versiones en la nube, lo que significa que cada organización que despliega un servidor de SharePoint debe aplicar el parche o desconectarlo de internet.

Security apt CISA cybersecurity hackers hacking infosec Microsoft sharepoint
Esta entrada está licenciada bajo CC BY 4.0 por el autor.