
La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó el miércoles una falla de alta gravedad que afecta a Microsoft SharePoint Server a su catálogo de vulnerabilidades explotadas conocidas (KEV), citando evidencia de explotación activa.
Esta vulnerabilidad, registrada como CVE-2026-45659 (puntuación CVSS: 8,8), es un caso de ejecución remota de código mediante la deserialización de datos que no son de confianza. Microsoft resolvió este problema en mayo de 2026 para las ediciones de suscripción de SharePoint Server, SharePoint Server 2019 y SharePoint Enterprise Server 2016.
Microsoft dijo que un atacante autenticado podría desencadenar la vulnerabilidad y que no se requieren administradores ni otros privilegios elevados. Un ataque basado en red podría permitir que un atacante autenticado con privilegios mínimos de miembro del sitio (PR:L) ejecute código de forma remota en SharePoint Server.
«Existe una vulnerabilidad de deserialización de datos no confiables en Microsoft SharePoint Server que podría permitir a un atacante autorizado ejecutar código a través de la red», dijo CISA.
Según el aviso del fabricante de Windows, esta falla se considera «poco probable que sea explotada». En este momento, no está claro cómo se está explotando esta vulnerabilidad, quién está detrás de la actividad y cuál es el objetivo final de estos esfuerzos.
A la luz del abuso activo, se alienta a las agencias del Poder Ejecutivo Civil Federal (FCEB) a aplicar la solución antes del 4 de julio de 2026.
Microsoft descubre actividad de amenazas paralela en dos grupos
A fines del mes pasado, Microsoft reveló que su investigación de rutina sobre ransomware reveló que dos atacantes no relacionados operaban simultáneamente dentro de la misma red y empleaban técnicas deliberadas para obtener acceso persistente y complicar los esfuerzos de respuesta a incidentes.
Se cree que uno de los ataques fue causado por Storm-2603. Storm-2603 es conocido por implementar con frecuencia el ransomware Warlock mediante la explotación de vulnerabilidades conocidas en servidores SharePoint locales desde mediados de 2025.

«En este caso, el acceso inicial probablemente se intentó a través de otra vulnerabilidad, solicitando archivos como win.ini y web.config, lo que indica que se está investigando la inclusión de archivos locales», dijo Microsoft. La evidencia indica que se trata de CVE-2025-11371 (puntuación CVSS: 9,1), un defecto crítico que afecta a Gladinet Triofox.
Una vez que obtuvieron el acceso inicial, los atacantes supuestamente implementaron herramientas como Velociraptor para combinar actividad maliciosa con comportamiento administrativo confiable, además de establecer múltiples canales de acceso remoto a través de conexiones Secure Shell (SSH) configuradas con túneles de Cloudflare, Zoho Assist y Visual Studio Code.
El ataque incrementó los privilegios mediante la creación de nuevas cuentas de administrador local y de dominio, mientras que un controlador vulnerable (‘NSecKrnl.sys’) sirvió como conducto para alterar las protecciones de seguridad de los terminales y reducir la visibilidad.
Al mismo tiempo, Microsoft dijo que encontró signos de un segundo atacante no relacionado coexistiendo en el mismo entorno utilizando descarga de DLL y puertas traseras personalizadas, lo que lo hace más difícil de identificar.
Una investigación más exhaustiva reveló que los atacantes se habían movido lateralmente más allá de la primera red hacia una segunda organización, que se vio comprometida por la misma actividad de ransomware atribuida a Storm-2603.
El Equipo de Respuesta a Incidentes de Microsoft dijo: «Estos flujos de actividad superpuestos permitieron el acceso continuo mientras enmascaraban el alcance total de la intrusión». «Al combinar tácticas de ransomware conocidas y técnicas ocultas, los atacantes pudieron establecer un acceso profundo y persistente».
«Lo que parece ser un único incidente de ransomware puede convertirse rápidamente en un incidente más complejo que abarca organizaciones, fusiona tácticas e incluso involucra a múltiples actores de amenazas que trabajan en paralelo. Para los equipos de seguridad, las implicaciones son claras: las señales aisladas rara vez cuentan toda la historia».
Source link
