2 min de lectura

CISA advierte sobre 3 vulnerabilidades de SharePoint explotadas

CISA dice que tres vulnerabilidades de SharePoint Server están siendo atacadas activamente, mientras que otros dos fallos críticos tienen una mayor probabilidad de ser explotados.

Imagen: The Register

CISA insta a las organizaciones que ejecutan SharePoint Server en las instalaciones a reforzar sus defensas tras advertir que tres vulnerabilidades están siendo atacadas activamente y que otros dos fallos críticos podrían pronto aumentar el riesgo.

La alerta se aplica a cualquier versión compatible de SharePoint Server en local. CISA destacó que estas tres vulnerabilidades ya han sido explotadas:

  • CVE-2026-32201 (6.5) — una vulnerabilidad de suplantación divulgada por Microsoft en marzo y confirmada por CISA como explotada activamente en junio
  • CVE-2026-45659 (8.8) — una vulnerabilidad de ejecución remota de código divulgada en junio y confirmada la semana pasada como utilizada en ataques, a pesar de que Microsoft había dicho previamente que su explotación era «menos probable»
  • CVE-2026-56164 (5.3) — un fallo de escalada de privilegios incluido en el Patch Tuesday récord de este mes, que cubrió 622 fallos

CISA también señaló otros dos fallos críticos de SharePoint del último Patch Tuesday: CVE-2026-55040 (9.1) y CVE-2026-58644 (9.8). Ninguno está siendo explotado activamente por ahora, pero Microsoft calificó ambos como «Explotación más probable».

Recomendado

La IA todavía no reemplazará a los pentesters

Según CISA, los tres errores explotados están relacionados con actividad post-explotación, incluyendo el robo de claves de máquina de Internet Information Services (IIS) y el uso de técnicas de deserialización para mantener persistencia y desplegar malware. La agencia no explicó qué motivó específicamente la nueva advertencia.

Sin embargo, dirigió a los defensores a un aviso de agosto de 2025 sobre el endurecimiento de SharePoint contra ataques «ToolShell». En ese aviso, CISA dijo que los atacantes estaban encadenando CVE-2025-49706 (6.5) y CVE-2025-49704 (8.8) para comprometer servidores SharePoint y, en algunos casos, desplegar el ransomware Warlock. CISA no atribuyó ninguna de las campañas, aunque Microsoft dijo en julio de 2025 que las vulnerabilidades de ToolShell estaban siendo explotadas por grupos estatales chinos.

Medidas de endurecimiento de SharePoint que recomienda CISA

Las recomendaciones de CISA incluyen:

  • aplicar los últimos parches de seguridad de Microsoft
  • verificar que la integración de la Interfaz de Análisis Antimalware (AMSI) esté habilitada para cada aplicación web de SharePoint
  • realizar búsqueda de amenazas para detectar signos de compromiso antes de rotar las claves de IIS
  • evitar exponer SharePoint a Internet salvo que sea necesario
  • bloquear el acceso externo a Central Administration de SharePoint
  • implementar registros robustos y adaptados para detectar actividad de explotación

Para las organizaciones que aún ejecutan SharePoint expuesto a Internet, la advertencia es contundente: parchear rápidamente, comprobar si hay intrusiones y restringir lo que no necesita ser accesible.

Sophia Reynolds

Security Editor

Sophia unpacks the invisible wars happening on our networks. Covering cybersecurity, privacy legislation, and cryptography, she exposes how our data is weaponized and defended. Before joining for(geeks), she spent years as a penetration tester. She's the reason the rest of the team uses physical security keys.

vía The Register

// Sigue leyendo