Hackers roban claves de IIS explotando vulnerabilidades en servidores SharePoin

La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos advirtió sobre ataques a servidores SharePoint locales accesibles desde internet. Los atacantes ya explotan tres vulnerabilidades que permiten omitir la autenticación, acceder al sistema e instalar software malicioso.
Están en riesgo todas las versiones locales compatibles de SharePoint Server, incluyendo Subscription Edition, SharePoint Server 2019 y SharePoint Server 2016. Los ataques activos están relacionados con las vulnerabilidades CVE-2026-32201 (6.5 Medium), CVE-2026-45659 (8.8 High) y CVE-2026-56164 (9.8 Critical). Tras la intrusión, los atacantes pueden ejecutar código de forma remota, robar claves de Internet Information Services y afianzarse en el sistema. El acceso obtenido permite ampliar el ataque y cargar software malicioso en los servidores comprometidos.
Según datos de Shadowserver, ahora están accesibles desde internet casi 10 000 servidores Microsoft SharePoint. Más de 800 de ellos no están protegidos contra las vulnerabilidades CVE-2026-32201 (6.5 Medium) y CVE-2026-45659 (8.8 High). Cuántos servidores son vulnerables a CVE-2026-56164 (9.8 Critical) aún se desconoce. Las estadísticas también pueden incluir señuelos creados específicamente para observar las acciones de los atacantes.
Los administradores deben habilitar la interfaz de análisis de código malicioso AMSI para cada aplicación web de SharePoint y, cuando sea posible, elegir el modo completo de análisis del cuerpo de las solicitudes. AMSI y Microsoft Defender Antivirus ya detectan intentos de omitir la autenticación, ejecutar código de forma remota y robar secretos protegidos de IIS.
Antes de reemplazar las claves de IIS, primero hay que encontrar y eliminar todas las huellas de intrusión. Si en el sistema queda un programa para recopilar claves, los atacantes podrán volver a robar nuevos datos. Microsoft recomienda dividir los servidores SharePoint por roles, mantener abiertos solo los servicios y puertos necesarios, cerrar el acceso externo a la administración central y restringir la conexión a las bases de datos a nodos de confianza.
No se deben exponer los servidores directamente a internet; si se necesita acceso externo, deben colocarse detrás de un proxy inverso. En Web.config conviene desactivar la visualización de detalles técnicos, reducir la lista de componentes permitidos y establecer límites razonables para la carga de archivos. Tampoco se deben desactivar los servicios del sistema de SharePoint sin verificar su propósito.