• 3 min de lectura
CISA insta a parchear urgentemente fallos de SharePoint explotados
CISA afirma que tres fallos de SharePoint Server están siendo atacados activamente y ordena a las agencias federales parchear o desconectar los sistemas vulnerables esta semana.

Imagen: BleepingComputer
CISA: Tres fallos de SharePoint Server bajo ataque activo
La U.S. Cybersecurity and Infrastructure Security Agency (CISA) advierte que atacantes están explotando activamente tres vulnerabilidades en implementaciones locales de SharePoint Server expuestas a Internet.
Los fallos — CVE-2026-32201, CVE-2026-45659 y CVE-2026-56164 — afectan a todas las versiones compatibles de SharePoint Server autohospedadas, incluida SharePoint Server Subscription Edition, que sigue un modelo de “actualización continua”.
Qué están haciendo los atacantes
Según el aviso del martes de CISA, los actores de amenazas están encadenando estos fallos para:

Recomendado
El laboratorio de Mira Murati presenta Inkling, un modelo abierto de 975 000 millones de p
- Eludir la autenticación
- Lograr ejecución remota de código (RCE)
- Realizar actividades de postexplotación, que incluyen:
- Robar claves de máquina de Internet Information Services (IIS)
- Obtener persistencia para desplegar malware en sistemas comprometidos
CISA ha añadido los tres CVE explotados activamente a su Catálogo de Vulnerabilidades Conocidas Explotadas en:
- 14 de abril – CVE-2026-32201
- 1 de julio – CVE-2026-45659
- 14 de julio – CVE-2026-56164
Dos vulnerabilidades de SharePoint adicionales de alto riesgo
La agencia también señaló dos vulnerabilidades adicionales de SharePoint Server, CVE-2026-55040 y CVE-2026-58644.
Microsoft lanzó parches para estos dos problemas el martes y los etiquetó como objetivos atractivos para los atacantes, aunque actualmente no se conoce explotación en entornos reales.
Exposición en Internet público
El observatorio de seguridad en Internet Shadowserver está rastreando cerca de 10,000 servidores Microsoft SharePoint expuestos a Internet.
Más de 800 de estos no están parcheados actualmente frente a CVE-2026-32201 y CVE-2026-45659. Aún no hay datos públicos sobre cuántos son vulnerables a CVE-2026-56164 o cuántas de las instancias observadas son honeypots.
La guía de CISA para los defensores
CISA insta a administradores y equipos de seguridad a:
- Aplicar los últimos parches de Microsoft y verificar su instalación correcta
- Acortar los ciclos de parcheo para SharePoint Server
- Habilitar la integración de Windows Antimalware Scan Interface (AMSI) para aplicaciones web de SharePoint
- Usar las detecciones de Microsoft Defender Antivirus (MDAV) para identificar y remediar compromisos
Pasos adicionales de endurecimiento recomendados por CISA incluyen:
- Buscar y remediar artefactos de intrusión antes de rotar las claves de máquina de IIS
- Configurar registros específicos para detectar actividad anómala
- Evitar la exposición directa a Internet de los servidores SharePoint salvo que sea estrictamente necesario
- Revisar la guía oficial de Microsoft para el endurecimiento de la seguridad de SharePoint Server
- Bloquear el acceso externo a SharePoint Central Administration
- Restringir la comunicación del farm y de la base de datos solo a los sistemas necesarios
- Cuando se requiera exposición, colocar los servidores detrás de un proxy inverso de Capa 7 o un control de seguridad a nivel de aplicación similar
Plazo federal: 17 de julio
Según la Directiva Operativa Vinculante (BOD) 26-04, las agencias federales de EE. UU. tienen hasta el 17 de julio para asegurar los servidores SharePoint afectados por CVE-2026-56164.
Los sistemas deben estar parcheados para esa fecha o ser desactivados si no se pueden aplicar mitigaciones.
Desde noviembre de 2021, CISA afirma que ha señalado 11 vulnerabilidades de Microsoft SharePoint que han sido explotadas en ataques, con 7 de ellas también usadas en operaciones de ransomware. Ese historial ahora se enfrenta a otro conjunto de servidores de colaboración expuestos a Internet y sin parchear.
AI Editor
Ava covers the rapidly evolving world of artificial intelligence, from foundational models and research labs to the real-world economics of intelligence. With a background in computational linguistics, she cuts through the hype to find out what actually works. She firmly believes that benchmarks are just marketing until reproduced in the wild.
vía BleepingComputer


