Aviso del 7 de noviembre: Vulnerabilidades de Microsoft SharePoint [CVE-2024-38094 y otros].

Fecha de divulgación: 9 de julio de 2024
Fecha de incorporación a CISA KEV: 22 de octubre de 2024

CVE-2024-38094, CVE-2024-38024y CVE-2024-38023 son vulnerabilidades de ejecución remota de código (RCE) que afectan a Microsoft Sharepoint. CVE-2024-32987 es una vulnerabilidad de divulgación de información que afecta a Microsoft Sharepoint. Los sitios web Server Subscription Edition, Server 2019 y Enterprise Server 2016 Sharepoint están todos afectados por estos exploits.

CVE-2024-38094 se añadió a la lista de vulnerabilidades explotadas conocidas (KEV) de CISA el 22 de octubre de 2024. En un reciente blog post de Rapid7, su equipo de respuesta a incidentes detalló una explotación activa de Microsoft SharePoint, donde los atacantes aprovecharon la vulnerabilidad CVE-2024-38094 para obtener acceso no autorizado. Esta brecha permitió a los atacantes instalar herramientas maliciosas, desactivar las defensas de seguridad y moverse lateralmente por la red, comprometiendo todo el dominio. Su publicación incluye varios indicadores de compromiso observados en el host víctima tras el ataque.

Los productos de Microsoft SharePoint afectados por estas vulnerabilidades, a saber, SharePoint Server Subscription Edition, SharePoint Server 2016 Enterprise y SharePoint Server 2019, a menudo son accesibles a través de Internet debido a su diseño para la colaboración y el intercambio de documentos. Las organizaciones suelen configurar SharePoint para que esté orientado a Internet para admitir el acceso remoto, lo que permite a los empleados y socios conectarse desde cualquier lugar. 

Esta exposición también puede crear riesgos de seguridad si no se protege adecuadamente con parches y configuraciones actualizadas. Cuando los servidores SharePoint deben ser accesibles a través de Internet, las organizaciones deben implementar VPN o acceso de confianza cero, aplicar la autenticación de múltiples factores, aplicar regularmente parches y utilizar firewalls de aplicaciones web para proteger contra el acceso no autorizado y la explotación.

Censys Perspectiva

En el momento de redactar este informe, Censys observó 486,182 instancias Microsoft Sharepoint expuestas en línea, filtrando los honeypots. La gran mayoría de ellas (74%) están geolocalizadas en Estados Unidos. Censys observó que alrededor del 93% de las instancias expuestas estaban asociadas a Microsoft Corporation (ASN 8075). Obsérvese que no todas ellas son necesariamente vulnerables, ya que no siempre se dispone de las versiones específicas de los dispositivos.

Mapa de instancias expuestas de Microsoft SharePoint:

Censys Consulta de búsqueda:

services.software: (vendor="Microsoft" and product="SharePoint") and not labels: {tarpit, honeypot}

Censys Consulta ASM:

host.services.software.vendor="Microsoft" AND host.services.software.product="SharePoint" and not host.labels: {tarpit, honeypot}

Referencias

• https://nvd.nist.gov/vuln/detail/CVE-2024-38094
• https://nvd.nist.gov/vuln/detail/CVE-2024-38024
• https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2024-38023
• https://nvd.nist.gov/vuln/detail/CVE-2024-32987
• https://support.microsoft.com/en-us/topic/description-of-the-security-update-for-sharepoint-server-subscription-edition-july-9-2024-kb5002606-37569899-5abc-49a2-bd5e-f0ae45528f8f
• https://www.bleepingcomputer.com/news/security/microsoft-sharepoint-rce-bug-exploited-to-breach-corporate-network/
• https://thehackernews.com/2024/10/cisa-warns-of-active-exploitation-of.html
• https://github.com/testanull/MS-SharePoint-July-Patch-RCE-PoC
• https://www.rapid7.com/blog/post/2024/10/30/investigating-a-sharepoint-compromise-ir-tales-from-the-field/