Se ha confirmado la explotación activa de vulnerabilidades de Ejecución Remota de Código (RCE) en entornos de Microsoft SharePoint. Los atacantes están utilizando ataques de baja complejidad para comprometer servidores SharePoint, permitiendo la ejecución de código sin interacción del usuario. Tras el éxito inicial, se ha observado el despliegue de web shells para mantener la persistencia y el robo de datos críticos, como la información de la MachineKey. Debido a que la vulnerabilidad ya ha sido incluida en el catálogo de vulnerabilidades explotadas de CISA (KEV), la remediación es una prioridad absoluta para todas las organizaciones.
Veredicto Analítico
- Estado: Confirmado (Explotación activa en el “wild”).
- Confianza: Alta (Basado en reportes de Microsoft, CISA y observaciones de post-explotación)
- Riesgo para SOC TDIR: Crítico. El compromiso de un servidor SharePoint permite a un atacante acceder a documentos sensibles, escalar privilegios en el Active Directory y desplegar herramientas de persistencia como web shells.
- Urgencia operativa: Inmediata. La vulnerabilidad es de baja complejidad y ya está siendo utilizada por actores de amenazas.
- Base del veredicto: Inclusión en el catálogo KEV de CISA y evidencia de despliegue de payloads de post-explotación.
Hallazgos Clave
- Vulnerabilidad Principal (CVE-2026-45659): Un fallo de deserialización de datos no confiables que permite la ejecución remota de código.
- Cambio de Gravedad: Inicialmente se reportó como un ataque que requería autenticación, pero Microsoft actualizó la calificación indicando que puede ser explotada por un atacante no autenticado.
- Técnica de Post-Explotación: Los atacantes utilizan peticiones POST maliciosas para subir scripts de web shell (ej. spinstall0.aspx).
- Objetivo del Robo de Datos: Los scripts de las web shells están diseñados específicamente para extraer la MachineKey del servidor, lo que facilita ataques de falsificación de identidad y acceso persistente.
Análisis Técnico
- Componentes Afectados:
- SharePoint Server Subscription Edition.
- SharePoint Server 2019.
- SharePoint Enterprise Server 2016.
- Vector de Ataque: Deserialización de datos no confiables (Inyección de datos maliciosos).
- TTPs (MITRE ATT&CK):
- Acceso Inicial: Explotación de vulnerabilidad de software (Exploiting Software Vulnerability).
- Persistencia: Instalación de Web Shells.
- Recolección: Robo de material de clave (MachineKey).
- Complejidad de Ataque: Baja (AC:L), ya que no requiere conocimientos profundos del sistema y el éxito es repetible.
Recomendaciones Operativas
Para Administradores de Sistemas / IT (Acción Inmediata):
- Actualización de Emergencia: Aplicar los parches de seguridad de Microsoft publicados para corregir CVE-2026-45659 y otros fallos RCE adicionales.
- Revisión de Archivos: Buscar archivos sospechosos en los directorios de SharePoint con nombres como spinstall0.aspx, spinstall.aspx, spinstall1.aspx, etc.
- Protección de Keys: Tras la actualización, considerar la rotación de la MachineKey si existe sospecha de compromiso.
Para el SOC (Monitoreo y Detección):
- Detección de Web Shells: Implementar reglas para detectar la creación de archivos .aspx nuevos o modificados en las rutas de contenido de SharePoint.
- Monitoreo de Peticiones HTTP: Vigilar peticiones POST inusuales dirigidas a endpoints de SharePoint que contengan payloads de deserialización.
- Hunting de Post-Explotación: Buscar actividad de red que indique la extracción de datos de la configuración del servidor.
Para CTI (Inteligencia de Amenazas):
- Seguimiento de CISA KEV: Monitorear cualquier actualización en el catálogo de vulnerabilidades explotadas de CISA relacionada con SharePoint.
- Análisis de Actores: Investigar qué grupos de amenazas están utilizando la técnica de robo de MachineKey para mejorar las capacidades de detección.
