Ciberseguridad 360 | Vulnerabilidad en SharePoint explotada por grupo de ransomware

Microsoft ha revelado que uno de los actores maliciosos responsables de la explotaci�n activa de las vulnerabilidades de SharePoint est� desplegando el ransomware Warlock en los sistemas objetivo.

El gigante tecnol�gico, en una actualizaci�n compartida el mi�rcoles, afirm� que los hallazgos se basan en un "an�lisis ampliado y en la inteligencia sobre amenazas obtenida de nuestro seguimiento continuo de la actividad de explotaci�n por parte de Storm-2603".

El actor malicioso atribuido a la actividad con motivaciones econ�micas es un presunto actor malicioso con sede en China que se sabe que ha utilizado los ransomware Warlock y LockBit en el pasado.

Las cadenas de ataque implican la explotaci�n de CVE-2025-49706, una vulnerabilidad de suplantaci�n de identidad, y CVE-2025-49704, una vulnerabilidad de ejecuci�n remota de c�digo, dirigidas a servidores SharePoint locales sin parches para desplegar la carga �til del shell web spinstall0.aspx.

"Este acceso inicial se utiliza para ejecutar comandos mediante el proceso w3wp.exe que admite SharePoint", afirm� Microsoft. "A continuaci�n, Storm-2603 inicia una serie de comandos de detecci�n, incluido whoami, para enumerar el contexto del usuario y validar los niveles de privilegios".

Los ataques se caracterizan por el uso de cmd.exe y scripts por lotes a medida que el agente malicioso se adentra en la red objetivo, mientras que services.exe se utiliza indebidamente para desactivar las protecciones de Microsoft Defender modificando el Registro de Windows.

Adem�s de aprovechar spinstall0.aspx para la persistencia, se ha observado que Storm-2603 crea tareas programadas y modifica los componentes de Internet Information Services (IIS) para ejecutar lo que Microsoft describe como ensamblados .NET sospechosos. Estas acciones est�n dise�adas para garantizar el acceso continuo, incluso si las v�ctimas toman medidas para bloquear los vectores de acceso iniciales.

Otros aspectos destacables de los ataques incluyen el uso de Mimikatz para recopilar credenciales atacando la memoria del Servicio del Subsistema de Autoridad de Seguridad Local (LSASS) y, a continuaci�n, realizar movimientos laterales utilizando PsExec y el kit de herramientas Impacket.

"A continuaci�n, se observa que Storm-2603 modifica los objetos de pol�tica de grupo (GPO) para distribuir el ransomware Warlock en entornos comprometidos", afirm� Microsoft.

Como medidas de mitigaci�n, se recomienda a los usuarios que sigan los pasos que se indican a continuaci�n:

Actualizar a versiones compatibles de Microsoft SharePoint Server local.

Aplicar las �ltimas actualizaciones de seguridad.

Asegurarse de que la interfaz de an�lisis antimalware est� activada y configurada correctamente.

Implementar Microsoft Defender para Endpoint o soluciones equivalentes.

Rotaci�n de las claves de m�quina ASP.NET de SharePoint Server.

Reiniciar IIS en todos los servidores SharePoint utilizando iisreset.exe (si no se puede habilitar AMSI, se recomienda rotar las claves y reiniciar IIS despu�s de instalar la nueva actualizaci�n de seguridad).

Implementar un plan de respuesta a incidentes.

El desarrollo se produce en un momento en que las vulnerabilidades de SharePoint Server est�n siendo objeto de una explotaci�n a gran escala, que ya ha causado al menos 400 v�ctimas. Linen Typhoon (tambi�n conocido como APT27) y Violet Typhoon (tambi�n conocido como APT31) son otros dos grupos de hackers chinos que han sido vinculados a esta actividad maliciosa. China ha negado las acusaciones.

"La ciberseguridad es un reto com�n al que se enfrentan todos los pa�ses y debe abordarse de forma conjunta mediante el di�logo y la cooperaci�n", afirm� el portavoz del Ministerio de Asuntos Exteriores de China, Guo Jiakun. "China se opone y lucha contra las actividades de pirater�a inform�tica de conformidad con la ley. Al mismo tiempo, nos oponemos a las calumnias y los ataques contra China con la excusa de cuestiones de ciberseguridad".

Fuente: thehackernews