
La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó el jueves una falla de seguridad recientemente parcheada que afecta a Microsoft SharePoint Server a su catálogo de vulnerabilidades explotadas conocidas (KEV) y requirió que las agencias del poder ejecutivo civil federal (FCEB) aplicaran el parche antes del 19 de julio de 2026.
La vulnerabilidad en cuestión es CVE-2026-58644 (puntuación CVSS: 9,8), una vulnerabilidad crítica de deserialización de datos no confiables que permite a un atacante sin privilegios ejecutar código arbitrario.
«Un ataque basado en red podría al menos permitir a un atacante autenticado como propietario del sitio escribir código arbitrario para inyectar y ejecutar código de forma remota en un servidor SharePoint», dijo Microsoft en un aviso publicado a principios de esta semana.
Redmond señaló que la vulnerabilidad se puede explotar de forma remota a través de Internet y advirtió que la complejidad del ataque es baja por dos razones:
El atacante no requiere ningún conocimiento previo significativo sobre el sistema. Los atacantes pueden lograr un éxito reproducible con cargas útiles contra componentes vulnerables.
Esta vulnerabilidad afecta a las siguientes versiones:
Edición de suscripción de Microsoft SharePoint Server Microsoft SharePoint Server 2019 Microsoft SharePoint Enterprise Server 2016
Se lanzó un parche para esta falla como parte de la actualización del martes de parches lanzada el 14 de julio de 2026. Desde entonces, Microsoft revisó su boletín de seguridad para aclarar que CVE-2026-58644 ha sido explotado en la naturaleza. Esto significa que esta falla se utilizó como arma como un día cero antes de que estuviera disponible una solución.
Este desarrollo se produce después de que CISA advirtiera que múltiples vulnerabilidades de SharePoint Server, incluidas CVE-2026-32201, CVE-2026-45659, CVE-2026-56164 y CVE-2026-58644, están siendo explotadas activamente y podrían permitir a los atacantes obtener acceso no autorizado a instancias locales.
«Estas vulnerabilidades afectan a todas las versiones locales compatibles de SharePoint Server (Subscription Edition, 2019 y 2016) e incluyen el establecimiento de ejecución remota de código (RCE) y actividades posteriores a la explotación, como el robo de claves de máquina de Internet Information Services (IIS) y la realización de técnicas de deserialización para ganar persistencia e implementar malware», señaló el organismo federal de vigilancia de la ciberseguridad.
CISA describe las siguientes medidas de endurecimiento para contener la amenaza:
Aplique los últimos parches y actualizaciones de seguridad de Microsoft, verifique que se hayan instalado correctamente y acorte los ciclos de aplicación de parches cuando sea posible. Verifique que cada aplicación web de SharePoint tenga habilitada la integración de la interfaz de escaneo antimalware (AMSI). Busque y elimine artefactos de intrusión, como recolectores de claves de máquinas, antes de rotar las claves de las máquinas IIS para evitar el robo de claves. Establezca mecanismos de registro personalizados para detectar y monitorear el abuso. No exponga SharePoint Server directamente a Internet a menos que sea necesario. Bloquee el acceso externo a la Administración central de SharePoint, limite la comunicación de la granja y la base de datos a los sistemas requeridos y revise la guía de refuerzo de seguridad de SharePoint Server de Microsoft para puertos, servicios y configuraciones Web.config específicos de cada función.
El jueves, las autoridades agregaron dos fallas de seguridad críticas que afectan a Fortinet FortiSandbox (CVE-2026-25089 y CVE-2026-39808) al catálogo KEV luego de informes de explotación activa. Las agencias federales deben actualizar sus instancias a la última versión compatible antes del 19 de julio de 2026.
Source link
