← Alertas
Vulnerabilidad Crítico Activa

El Patch Tuesday más grande de Microsoft trae dos fallas ya explotadas, una en SharePoint con fecha límite de CISA

Microsoft corrigió 622 fallas de seguridad este martes, la mayor cantidad registrada en un solo mes. Dos de ellas ya se explotan activamente: una en SharePoint Server permite tomar control del servidor sin ninguna credencial, y CISA ordenó a las agencias de EE.UU. corregirla antes del 17 de julio. Las organizaciones con SharePoint instalado en sus propios servidores deben aplicar el parche de inmediato.

2026-07-15 · BleepingComputer / The Hacker News

Qué ocurrió

Microsoft publicó el 15 de julio el Patch Tuesday más grande de su historia: 622 fallas de seguridad corregidas, más del triple que el mes anterior. Dos de esas fallas ya estaban siendo explotadas antes de que existiera el parche. La primera afecta a SharePoint Server: un atacante, sin necesidad de contraseña ni interacción de la víctima, puede escalar privilegios de forma remota y tomar control del servidor. Mandiant y el equipo de amenazas de Google la reportaron a Microsoft. La segunda afecta a Active Directory Federation Services (AD FS), el sistema que firma los tokens de inicio de sesión corporativo; requiere que el atacante ya tenga una cuenta en el sistema. La Agencia de Ciberseguridad de EE.UU. (CISA) confirmó explotación activa de la falla de SharePoint y ordenó a las agencias federales corregirla o desconectar el servidor antes del 17 de julio.

Quién está expuesto

Organizaciones que operan SharePoint Server en sus propios servidores, no SharePoint Online (la versión en la nube de Microsoft 365, que no está afectada). Esto incluye la versión más reciente de actualizaciones continuas (Subscription Edition), además de las versiones 2016 y 2019, cuyo soporte extendido termina justamente este mes. La firma Shadowserver identificó casi 10,000 servidores SharePoint expuestos directamente en internet a nivel global, de los cuales más de 800 no tienen ninguna protección frente a dos de las tres fallas activas. En menor medida, organizaciones con AD FS mal configurado también están expuestas a la segunda falla, aunque ese ataque requiere una cuenta válida previa.

A considerar

Si la organización recibió una alerta de su proveedor de TI o de un tercero sobre actividad inusual en su servidor SharePoint, por ejemplo archivos de configuración modificados o cuentas nuevas con privilegios administrativos, esa es una señal de que el ataque ya pudo haber ocurrido antes del parche, no solo un riesgo a futuro.

Impacto potencial

Un atacante que aprovecha la falla de SharePoint obtiene control total del servidor sin haber iniciado sesión. Desde ahí puede robar las llaves internas que usa el servidor para autenticar procesos (machine keys), lo que le permite mantener acceso incluso después de que se aplique el parche, además de usar esas llaves para instalar programas maliciosos con apariencia legítima. Para una organización, eso significa acceso potencial a todos los documentos, contratos y comunicaciones internas almacenadas en SharePoint, con la posibilidad de que el atacante permanezca oculto dentro de la red mucho después del ataque inicial.

Leer fuente original →