Los piratas informáticos están utilizando servidores SharePoint locales sin parches como punto de entrada para ataques de ransomware, robo de credenciales, acceso remoto y puertas traseras personalizadas, según un nuevoInforme de respuesta a incidentes de Microsoft.
El caso involucró a Storm-2603, un actor de amenazas que Microsoft ha vinculado con actividad de ransomware contra entornos de SharePoint expuestos. Los investigadores también encontraron evidencia de un segundo atacante no relacionado que operaba dentro del mismo entorno al mismo tiempo.
Esto hizo que el incidente fuera más difícil de investigar. Un actor utilizó tácticas de ransomware conocidas, mientras que el otro utilizó la descarga de archivos DLL y puertas traseras personalizadas. Microsoft dijo que los defensores sólo vieron el panorama completo después de correlacionar la identidad, el punto final y la telemetría de la nube.
Los servidores SharePoint sin parches siguen siendo un objetivo de alto riesgo
Microsoft dijo que Storm-2603 se ha dirigido a servidores SharePoint locales desde mediados de 2025 explotando fallas divulgadas públicamente, incluidas CVE-2025-49706 y CVE-2025-49704. un separadoAdvertencia de inteligencia de amenazas de Microsoftdijo que estas vulnerabilidades afectaban únicamente a los servidores SharePoint locales, mientras que SharePoint Online en Microsoft 365 no se vio afectado.
La ola más amplia de explotación de SharePoint también involucró a CVE-2025-53770 y CVE-2025-53771, que Microsoft describió como relacionadas con vulnerabilidades anteriores de SharePoint. Esas fallas se convirtieron en parte de la cadena de explotación de ToolShell utilizada contra los sistemas SharePoint con acceso a Internet.
Análisis de SharePoint de la Unidad 42También advirtió que las implementaciones autohospedadas de SharePoint en entornos gubernamentales, educativos, sanitarios y de grandes empresas enfrentaban un riesgo inmediato durante la ola de explotación.
| Asunto | ¿Qué hicieron los atacantes? | Por qué es importante |
|---|---|---|
| Explotación de SharePoint | Servidores SharePoint locales expuestos dirigidos | Dio a los atacantes un punto de apoyo inicial en las redes empresariales |
| Acceso remoto | Herramientas utilizadas como túneles de Cloudflare, Zoho Assist y VS Code Remote SSH | Creó varias formas de mantenerse conectado. |
| Escalada de privilegios | Creé cuentas de administrador local y de dominio. | Ayudó a los atacantes a mantener el control después de la entrada. |
| Evasión de defensa | NSecKrnl.sys cargado para la actividad Traiga su propio controlador vulnerable | Se permitió la manipulación de la memoria y las herramientas de seguridad. |
| Segundo atacante | Descarga lateral de DLL usada y puertas traseras personalizadas | Se agregó otra corriente de intrusión dentro del mismo entorno. |
Microsoft encontró dos atacantes trabajando en paralelo
La investigación no siguió un patrón simple de ransomware. Storm-2603 implementó Velociraptor, una herramienta forense y de monitoreo legítima, con privilegios de SISTEMA para mapear el entorno y recopilar datos.
Luego, el grupo agregó varias rutas de comando y control. Estos incluían túneles de Cloudflare para tráfico externo, Zoho Assist para administración remota y Visual Studio Code Remote SSH para otro canal de acceso.
Al mismo tiempo, Microsoft encontró actividad que no coincidía con Storm-2603. El segundo actor utilizó una descarga de DLL maliciosa, eliminó archivos sin firmar como srvcli.dll y creó un archivo NTDS.zip que contenía el archivo de base de datos de Active Directory NTDS.dit.
- La actividad de Storm-2603 incluyó herramientas de acceso remoto, cuentas de administrador no autorizadas, actividad BYOVD y ejecución de ransomware.
- El segundo actor mostró técnicas separadas, incluida la descarga de DLL y puertas traseras personalizadas.
- El robo de NTDS.dit creó un riesgo importante de credenciales porque puede exponer los datos de contraseñas de Active Directory.
- El movimiento lateral de WinRM ayudó a los atacantes a moverse entre sistemas utilizando funciones legítimas de administración de Windows.
CVE-2025-11371 necesita un manejo cuidadoso
El caso de Microsoft también menciona solicitudes de archivos como win.ini y web.config, lo que indicó una posible investigación de inclusión de archivos locales. El flujo de ataque del informe hace referencia a CVE-2025-11371, pero los defensores no deberían tratar ese CVE como un problema de parche de SharePoint.
ElEntrada NVD para CVE-2025-11371dice que la falla afecta a Gladinet CentreStack y TrioFox en instalaciones y configuraciones predeterminadas. NVD lo describe como una falla de inclusión de archivos locales no autenticados que puede exponer archivos del sistema.
Esa distinción es importante para los equipos de seguridad. Los administradores de SharePoint aún necesitan aplicar parches y reforzar SharePoint, pero las organizaciones que también ejecutan CentreStack o TrioFox deben revisar esos sistemas por separado, especialmente si tienen acceso a Internet.
| Vulnerabilidad o artefacto | Contexto confirmado | Acción defensiva |
|---|---|---|
| CVE-2025-49704 | Vulnerabilidad de ejecución remota de código de SharePoint | Aplicar actualizaciones de seguridad de Microsoft SharePoint |
| CVE-2025-49706 | Vulnerabilidad de suplantación de SharePoint utilizada en ataques | Versiones de SharePoint Server compatibles con parches |
| CVE-2025-53770 | Problema de ejecución remota de código de SharePoint local | Siga las instrucciones de mitigación y parches de Microsoft |
| CVE-2025-11371 | Fallo de inclusión de archivos locales de Gladinet CentreStack y TrioFox | Verifique los sistemas de intercambio de archivos afectados por separado |
| NSecKrnl.sys | Controlador vulnerable utilizado para la actividad BYOVD | Bloquee los controladores vulnerables y supervise la manipulación a nivel del kernel |
| NTDS.zip | Archivo que contiene datos robados de la base de datos de Active Directory | Asumir la exposición de credenciales y rotar los secretos afectados |
Los atacantes no utilizaron ningún método de acceso. El caso de Microsoft muestra cómo los incidentes de ransomware modernos a menudo combinan herramientas de administración legítimas, malware personalizado, servidores expuestos, robo de credenciales y persistencia silenciosa.
Storm-2603 utilizó Velociraptor y canales de gestión remota para mantener el acceso. También creó cuentas de administrador y cargó un controlador vulnerable para desactivar la protección de terminales. Estas acciones dieron a los atacantes más tiempo para preparar el entorno antes de la ejecución del ransomware.
El segundo actor añadió más ruido y riesgo. Al robar NTDS.dit y utilizar puertas traseras personalizadas, el atacante podría haber expuesto la infraestructura de identidad a largo plazo incluso si la recuperación del ransomware restaurara los sistemas cifrados.
¿Qué deberían hacer las organizaciones ahora?
Las organizaciones que aún operan SharePoint local deben confirmar que cada instancia de SharePoint Server compatible tenga las últimas actualizaciones de seguridad. ElGuía de Microsoft SharePointTambién recomienda habilitar AMSI, usar Microsoft Defender Antivirus o protección equivalente, rotar claves de máquina SharePoint ASP.NET, reiniciar IIS e implementar herramientas de detección de puntos finales.
Los equipos de seguridad también deben verificar si existe algún sistema de intercambio de archivos afectado en el entorno. ElAviso CVE-2025-11371debe revisarse por separado de la aplicación de parches de SharePoint porque se aplica a CentreStack y TrioFox.
La lección más amplia de lacaso Microsoft DARTes que el ransomware puede mostrar sólo una parte de una intrusión. Los defensores necesitan suficiente telemetría para encontrar actividades superpuestas en puntos finales, identidades, servidores, servicios en la nube y herramientas de acceso remoto.
- Parchee inmediatamente los servidores SharePoint con acceso a Internet.
- Gire las claves de la máquina SharePoint ASP.NET después de aplicar las actualizaciones.
- Reinicie IIS después de la rotación de claves y la aplicación de parches.
- Audite las cuentas de administrador local y de dominio para detectar cambios inesperados.
- Busque túneles de Cloudflare, Zoho Assist, VS Code Remote SSH y otras herramientas remotas que no fueron aprobadas.
- Busque descargas de DLL sospechosas, incluida actividad inusual de ulib.dll y srvcli.dll.
- Investigue cualquier acceso a NTDS.dit o creación de archivos NTDS.zip.
- Utilice elUnidad 42 Cobertura de ToolShellpara comparar la actividad de explotación de SharePoint anterior con los registros actuales.
Los servidores públicos sin parches siguen siendo una de las rutas más rápidas hacia las redes empresariales. En este caso, el mayor riesgo provino de lo que sucedió después del acceso: credenciales robadas, puertas traseras ocultas, herramientas de acceso remoto y múltiples atacantes operando al mismo tiempo.
Preguntas frecuentes
¿Qué pasó en el ataque del ransomware SharePoint?
Microsoft investigó una intrusión en la que Storm-2603 se dirigió a servidores SharePoint locales e implementó actividad relacionada con ransomware. Los investigadores también encontraron un segundo atacante no relacionado que utilizaba descarga de DLL y puertas traseras personalizadas en el mismo entorno.
¿Se ven afectados los usuarios de SharePoint Online?
Microsoft dijo que las vulnerabilidades de SharePoint discutidas en su advertencia de explotación de 2025 afectaban únicamente a los servidores locales de SharePoint. SharePoint Online en Microsoft 365 no se vio afectado por esas vulnerabilidades del servidor SharePoint.
¿Qué es la Tormenta-2603?
Storm-2603 es un actor de amenazas rastreado por Microsoft. Microsoft ha asociado al grupo con la explotación de vulnerabilidades locales de SharePoint y la implementación de ransomware, incluida la actividad que involucra a Warlock y LockBit ransomware.
¿CVE-2025-11371 es una vulnerabilidad de SharePoint?
No. CVE-2025-11371 está catalogado por NVD como una vulnerabilidad de inclusión de archivos locales de Gladinet CentreStack y TrioFox. Debe revisarse por separado de la aplicación de parches de SharePoint, aunque el informe del caso de Microsoft hace referencia a actividades de sondeo relacionadas en la intrusión investigada.
¿Cómo pueden las organizaciones reducir el riesgo de estos ataques?
Las organizaciones deben parchear los servidores SharePoint locales, habilitar AMSI y la protección de endpoints, rotar las claves de las máquinas SharePoint ASP.NET, reiniciar IIS, auditar las cuentas de administrador, monitorear las herramientas de acceso remoto e investigar cualquier signo de acceso a NTDS.dit o descarga de DLL.