La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) el miércoles agregado una falla de alta gravedad que afecta a Microsoft SharePoint Server en su catálogo de vulnerabilidades explotadas conocidas (KEV), citando evidencia de explotación activa.
La vulnerabilidad, rastreada como CVE-2026-45659 (Puntuación CVSS: 8,8), es un caso de ejecución remota de código que surge de la deserialización de datos que no son de confianza. Microsoft solucionó el problema en mayo de 2026 para SharePoint Server Subscription Edition, SharePoint Server 2019 y SharePoint Enterprise Server 2016.
Microsoft señaló que cualquier atacante autenticado podría desencadenar la vulnerabilidad y que no requiere privilegios de administrador ni otros privilegios elevados. En un ataque basado en red, un atacante autenticado con un mínimo de permisos de miembro del sitio (PR:L) podría aprovecharlo para ejecutar código de forma remota en SharePoint Server.
«Microsoft SharePoint Server contiene una vulnerabilidad de deserialización de datos no confiables que permite a un atacante autorizado ejecutar código a través de una red», CISA dicho.
Según el aviso del fabricante de Windows, la falla ha sido etiquetada con una evaluación de «Explotación menos probable». Actualmente no se sabe cómo se explota la vulnerabilidad, quién está detrás de la actividad y cuáles son los objetivos finales de estos esfuerzos.
A la luz de la explotación activa, se recomienda a las agencias del Poder Ejecutivo Civil Federal (FCEB) que apliquen las correcciones antes del 4 de julio de 2026.
Microsoft descubre actividad de amenazas paralelas en dos grupos
A finales del mes pasado, Microsoft reveló que una investigación de rutina sobre ransomware descubrió dos atacantes no relacionados que operaban simultáneamente dentro de la misma red, mientras adoptaban técnicas deliberadas para establecer un acceso persistente y complicar los esfuerzos de respuesta a incidentes.
Un conjunto de ataques se ha atribuido a Storm-2603, un actor de amenazas conocido por implementar el ransomware Warlock, a menudo explotando vulnerabilidades conocidas en servidores SharePoint locales desde mediados de 2025.
«En este caso, el acceso inicial probablemente se intentó a través de una vulnerabilidad separada, con solicitudes de archivos como win.ini y web.config, lo que indica que se estaba investigando la inclusión de archivos locales», dijo Microsoft. La evidencia apunta a que se trata de CVE-2025-11371 (puntuación CVSS: 9,1), una falla crítica que afecta a Gladinet Triofox.
Al obtener acceso inicial, se dice que el actor de amenazas implementó herramientas como Velociraptor para combinar actividad maliciosa con comportamiento administrativo confiable, así como también estableció múltiples canales de acceso remoto a través del túnel Cloudflare, Zoho Assist y conexiones Secure Shell (SSH) configuradas a través de Visual Studio Code.
El ataque también aumentó los privilegios al crear nuevas cuentas de administrador local y de dominio, mientras que un controlador vulnerable («NSecKrnl.sys») actuó como un conducto para alterar las protecciones de seguridad de los terminales para ayudar a reducir su visibilidad.
Al mismo tiempo, Microsoft dijo que descubrió signos de un segundo actor de amenazas no relacionado que coexiste en el mismo entorno utilizando la carga lateral de DLL y puertas traseras personalizadas, lo que hace que la atribución sea más desafiante.
Una investigación más profunda descubrió que los atacantes se habían movido lateralmente más allá de la primera red y hacia una segunda organización, lo que confirmó que habían sido comprometidos por la misma actividad de ransomware atribuida a Storm-2603.
«Juntos, estos flujos de actividad superpuestos permitieron un acceso sostenido mientras enmascaraban el alcance total de la intrusión», dijo el equipo de Respuesta a Incidentes de Microsoft. «La combinación de tácticas de ransomware conocidas y técnicas ocultas permitió a los actores de amenazas establecer un acceso profundo y duradero».
«Lo que puede parecer un solo incidente de ransomware puede expandirse rápidamente a algo más complejo: abarcar organizaciones, combinar tácticas e incluso involucrar a múltiples actores de amenazas que operan en paralelo. Para los equipos de seguridad, la implicación es clara: las señales aisladas rara vez cuentan la historia completa».





