SevenTnewS

Ciberseguridad

CISA agrega vulnerabilidad de Microsoft SharePoint Server a la lista de explotadas mientras surgen ataques de ransomware paralelos

CISA marca CVE-2026-45659 bajo explotación activa, instando a las agencias federales a parchear antes del 4 de julio de 2026. Microsoft detalla la actividad paralela de Storm-2603 y un actor desconocido que utiliza vulnerabilidades de SharePoint y herramientas de tunelización.

Emmanuel Fabrice Omgbwa Yasse

2026-07-02 · 3 min de lectura

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó el miércoles una falla de alta gravedad en Microsoft SharePoint Server a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), citando evidencia de que está siendo explotada activamente en la naturaleza.

La vulnerabilidad, rastreada como CVE-2026-45659 y con una puntuación CVSS de 8.8, es un error de ejecución remota de código originado en la deserialización de datos no confiables. Microsoft parcheó el problema en mayo de 2026 en SharePoint Server Subscription Edition, SharePoint Server 2019 y SharePoint Enterprise Server 2016.

La compañía señaló que cualquier atacante autenticado, no solo aquellos con privilegios de administrador o elevados, podría ejecutar el ataque. En un ataque basado en red, un usuario autenticado con al menos permisos de Miembro del Sitio (PR:L) podría explotarlo para ejecutar código de forma remota en el servidor de SharePoint.

"Microsoft SharePoint Server contiene una vulnerabilidad de deserialización de datos no confiables que permite a un atacante autorizado ejecutar código a través de una red", dijo CISA.

Según el aviso de Microsoft, la falla tiene una evaluación de "Explotación Menos Probable". Aún no está claro cómo los atacantes la están explotando, quién está detrás de la actividad o cuál es su objetivo final.

Dada la explotación activa, las agencias de la Rama Ejecutiva Civil Federal (FCEB) tienen hasta el 4 de julio de 2026 para aplicar las correcciones.

Microsoft descubre actividad de amenaza paralela de dos clústeres

A finales del mes pasado, Microsoft reveló que una investigación rutinaria de ransomware había encontrado algo inusual: dos atacantes no relacionados operando simultáneamente dentro de la misma red, cada uno utilizando técnicas deliberadas para asegurar acceso persistente y complicar la respuesta a incidentes.

Uno de los conjuntos de ataques se ha atribuido a Storm-2603, un actor de amenazas conocido por implementar ransomware Warlock, a menudo explotando vulnerabilidades conocidas en servidores SharePoint locales, una táctica en uso desde mediados de 2025.

"En este caso, el acceso inicial probablemente se intentó a través de una vulnerabilidad separada, con solicitudes de archivos como win.ini y web.config, lo que indica sondeo de inclusión de archivos locales", dijo Microsoft. La evidencia apunta a CVE-2025-11371 (puntuación CVSS: 9.1), una falla crítica en Gladinet Triofox.

Una vez dentro, el actor de amenazas implementó herramientas como Velociraptor para mezclar actividad maliciosa con comportamiento administrativo confiable, y estableció múltiples canales de acceso remoto a través de tunelización de Cloudflare, Zoho Assist y conexiones Secure Shell (SSH) configuradas mediante Visual Studio Code.

El ataque también escaló privilegios creando nuevas cuentas de administrador local y de dominio, mientras que un controlador vulnerable ("NSecKrnl.sys") sirvió como conducto para manipular las protecciones de seguridad de los endpoints y reducir la visibilidad.

Al mismo tiempo, Microsoft dijo que encontró señales de un segundo actor de amenazas no relacionado coexistiendo en el mismo entorno, utilizando secuestro de DLL y puertas traseras personalizadas, lo que hace que la atribución sea mucho más difícil.

Una investigación más profunda reveló que los atacantes se habían movido lateralmente desde la primera red a una segunda organización, confirmando que la segunda víctima también había sido golpeada por la misma actividad de ransomware atribuida a Storm-2603.

"Juntos, estos flujos de actividad superpuestos permitieron un acceso sostenido mientras enmascaraban el alcance completo de la intrusión", dijo el equipo de Respuesta a Incidentes de Microsoft. "La combinación de tácticas conocidas de ransomware y técnicas ocultas permitió a los actores de amenazas establecer un acceso profundo y duradero."

"Lo que puede parecer un incidente de ransomware único puede expandirse rápidamente en algo más complejo, abarcando organizaciones, combinando tácticas e incluso involucrando múltiples actores de amenazas operando en paralelo. Para los equipos de seguridad, la implicación es clara: las señales aisladas rara vez cuentan la historia completa."