Vulnerabilidad RCE crítica encontrada en SharePoint

Hace algunos días, especialistas en seguridad informática reportaron una vulnerabilidad en SharePoint supuestamente explotada por grupos de hackers maliciosos para atacar organizaciones gubernamentales en todo el mundo. Ahora, debido a los recientes incidentes afectando organizaciones en India, se ha confirmado que los hackers están explotando CVE-2019-0604, una falla de ejecución remota de código en SharePoint.

A inicios de 2020, un experto en seguridad encontró una falla en SharePoint que podría explotarse para ejecutar código arbitrario de forma remota enviando un paquete de aplicación de SharePoint especialmente diseñado. Debido a la trivialidad de la explotación, los investigadores consideraron esta una vulnerabilidad de alta gravedad.

Se ha confirmado la presencia de una vulnerabilidad descubierta en las aplicaciones web del Departamento de Impuestos de India (rentataxindia.dov.in), que empleaba SharePoint para alojar sus servicios. Para comprobar esto, los especialistas en seguridad informática enviaron una carga útil especialmente diseñada para realizar búsquedas remotas de DNS. Dhiraj Mishra, investigador de seguridad informática, fue el encargado de presentar el reporte ante el gobierno de India.

Durante la investigación, también se descubrió que las aplicaciones web de la Escuela de Administración MIT Sloan eran vulnerables a la explotación de la falla CVE-2019-0604.

Acorde a los anteriores reportes de seguridad informática, decenas de servidores de la Organización de las Naciones Unidas (ONU) se vieron afectados por un ataque desplegado entre junio y septiembre de 2019. Al parecer, los actores de amenaza explotaron múltiples errores de seguridad, a pesar de los posteriores intentos de repeler el ataque implementados por los equipos de ciberseguridad de la ONU.

Una posterior investigación atribuyó los ataques a la explotación de una vulnerabilidad conocida en SharePoint. En una alerta de seguridad enviada de forma interna a sus administradores de sistemas, la ONU mencionó: “Trabajamos bajo el supuesto de que todo el dominio ha sido comprometido. Hasta el momento, los atacantes no han mostrado señales de actividad, aunque suponemos que ya han ganado persistencia en nuestros sistemas”.

Si bien se trató de un incidente serio, los especialistas del Instituto Internacional de Seguridad Cibernética (IICS) descubrieron que la ONU sólo recurrió a cerrar el acceso indebido, recomendando a los empleados a restablecer sus contraseñas. Al parecer, los empleados no están al tanto de que su información estuvo expuesta a los hackers, por lo que siguen expuestos a diversas variantes de fraude y delitos en línea.