Microsoft advierte a las organizaciones de todo el mundo que los actores de amenazas están aprovechando cada vez más vulnerabilidades críticas en su servidor de Exchange en las instalaciones y SharePoint Server.
Estos ataques observados en los últimos meses permiten que los cibercriminales obtengan acceso sostenido y privilegiado a sus entornos objetivo, lo que lleva a la ejecución de código remoto, el movimiento lateral y la eliminación de datos confidenciales.
Los servidores de Exchange y SharePoint han sido durante mucho tiempo objetivos atractivos para los datos confidenciales que almacenan, pero los atacantes están implementando técnicas más sofisticadas.
Relés NTLM y tecnología de sostenibilidad sigilosa
Un cambio notable fue el aumento de los ataques de retransmisión y elegibilidad de NTLM contra Exchange Server. En estos escenarios, el atacante aprovecha las debilidades del protocolo de autenticación NTLM transmitiendo credenciales robadas a un servidor vulnerable, violando las cuentas de los usuarios y permitiendo actividades maliciosas.
Los actores de amenaza aprovechan constantemente vulnerabilidades críticas en los servidores de cambio y SharePoint para garantizar que obtengan un punto de apoyo permanente dentro de sus objetivos. Se ha observado que tales ataques conducen a la ejecución de código remoto, el movimiento lateral y la extracción …
– Microsoft Amenazing Intelligence (@msftsecintel) 18 de abril de 2025
Las campañas recientes han explotado una vulnerabilidad que permite a los atacantes capturar y transmitir hashtags NTLM, y en muchos casos cuentas privilegiadas están apuntando al mayor impacto.
Los ataques del servidor de SharePoint también se están volviendo aún más reservados. Se ha observado que los actores de amenaza modifican archivos legítimos, como agregar un código de shell Web a las páginas existentes e implementar herramientas de monitoreo y administración remota (RMM).
Estas tácticas permiten un acceso sostenido y sigiloso que es difícil detectar el uso de medidas de seguridad tradicionales.
La integración de AMSI eleva la barra
Para combatir estas amenazas, Microsoft ha integrado la interfaz de escaneo de antimalware de Windows (AMSI) en los servidores de Exchange y SharePoint. AMSI actúa como un filtro de seguridad dentro de la tubería IIS e inspecciona las solicitudes HTTP entrantes, incluido el cuerpo de solicitud de contenido malicioso, antes de llegar a la capa de aplicación.
Cuando se detecta una amenaza, AMSI bloquea las solicitudes en tiempo real, devolviendo una respuesta de solicitud mala de HTTP 400, evitando la explotación antes de aplicar parches oficiales.
Esta defensa agresiva es particularmente importante para las vulnerabilidades de día cero que los atacantes a menudo atacan antes de que una organización tenga la oportunidad de actualizar su sistema.
La integración de AMSI detecta y bloquea intentos maliciosos como SSRF, implementación de shell web y robo de calificación, y surgen incidentes en Microsoft Defender para una mayor investigación y reparación.
Microsoft solicita fuertemente a las organizaciones que ejecutan los servidores de intercambio en las instalaciones o SharePoint a:
Aplique los últimos parches y actualizaciones de seguridad sin demora. Habilite la integración de AMSI y asegúrese de que una solución antimalware compatible esté activa. Auditar y mejorar las configuraciones de autenticación de NTLM, lo que permite una mejor protección de la autenticación (EPA) cuando sea posible. Monitorea actividades sospechosas, como solicitudes HTTP anormales y acceso incorrecto del buzón.
A medida que los atacantes continúan innovando, las defensas en capas y las respuestas rápidas siguen siendo vitales para proteger los activos comerciales críticos del compromiso.
Informe de tendencia de malware 15,000 incidentes del equipo SOC, trimestre de 2025! -> Obtenga una copia gratis
