Microsoft ha confirmado la explotación activa de una vulnerabilidad crítica de ejecución remota de código en SharePoint Server. El fallo, catalogado como CVE-2026-32201, afecta a más de 1.300 servidores con exposición directa a Internet según los últimos datos de escaneos públicos, y permite a un atacante ejecutar código arbitrario en el sistema sin necesidad de autenticación previa en determinadas configuraciones.
La alerta llega en un momento especialmente delicado. El tiempo medio de explotación de vulnerabilidades conocidas ha caído de más de 700 días en 2020 a menos de 45 días en 2025, y el informe M-Trends 2026 de Mandiant añade un dato más preocupante: el 28,3% de los CVEs críticos del último año fueron explotados en menos de 24 horas desde su publicación. CVE-2026-32201 ya forma parte de ese porcentaje.
Qué permite hacer este fallo y a quién afecta
La vulnerabilidad reside en el componente de procesamiento de solicitudes web de SharePoint Server. Un atacante puede enviar una petición HTTP especialmente construida que aprovecha un fallo de deserialización en el pipeline de autenticación. Si el servidor procesa esa petición antes de completar la verificación de credenciales (lo que ocurre en configuraciones con ciertos módulos de terceros activos o con opciones de acceso anónimo habilitadas), el código malicioso se ejecuta con los privilegios del proceso de IIS.
Las versiones afectadas son SharePoint Server 2019, SharePoint Server Subscription Edition con versiones de compilación anteriores al parche de mayo, y SharePoint Server 2016 en modo de soporte extendido. SharePoint Online (la versión en la nube de Microsoft 365) no está afectada porque Microsoft ya aplicó los parches en su infraestructura.
Los sistemas más expuestos son los que tienen SharePoint publicado directamente en Internet sin proxy inverso ni WAF delante, y los que no han aplicado el Patch Tuesday de mayo de 2026, que incluye la corrección oficial.
Cómo parchear y qué medidas tomar mientras tanto
La solución definitiva es aplicar el parche de mayo de 2026 de Microsoft, disponible a través de Windows Update para empresas y descargable directamente desde el Catálogo de Microsoft Update para entornos sin acceso automático. La instalación requiere reinicio del servidor.
Para entornos donde el parche no puede aplicarse de forma inmediata, las mitigaciones recomendadas son:
Restringir la exposición en Internet del servidor SharePoint limitando el acceso a rangos de IP corporativas o requiriendo VPN. Esta es la medida con mayor impacto en superficie de ataque.
Deshabilitar el acceso anónimo en todas las aplicaciones web de SharePoint. En la mayoría de instalaciones empresariales este acceso ya está deshabilitado, pero conviene verificarlo en la consola de administración central.
Activar el registro de IIS ampliado y monitorizar las peticiones HTTP inusuales hacia los endpoints de autenticación, en particular los que incluyen parámetros serializedObject o similares en el cuerpo de la petición.
Revisar los permisos del pool de aplicaciones IIS. Si el proceso corre con permisos de administrador local o de servicio de red con privilegios elevados, reducir esos permisos limita el daño potencial de una explotación exitosa.
El contexto de este tipo de vulnerabilidades en SharePoint no es nuevo. Como describimos en el análisis de las alertas críticas en SharePoint y Zimbra de abril, estas plataformas son objetivos persistentes porque concentran información corporativa sensible y porque muchas organizaciones retrasan sus ciclos de parcheo en sistemas de colaboración para evitar interrupciones.
El patrón de ataque que se está observando
Los primeros análisis de incidentes relacionados con CVE-2026-32201 publicados por grupos de respuesta a incidentes muestran un patrón consistente: exploración automatizada para identificar servidores vulnerables, seguida de instalación de un webshell para acceso persistente, y después movimiento lateral hacia sistemas conectados usando las credenciales de servicio de SharePoint.
El vector de monetización más frecuente en los casos documentados hasta ahora es el espionaje corporativo y el robo de credenciales almacenadas en documentos de SharePoint, no el ransomware directo sobre el servidor. Eso tiene sentido: un webshell silencioso en SharePoint es más valioso que cifrar el servidor y revelar la presencia del atacante.
La cadena de ataques de la IA ofensiva que ya automatiza fases del ciclo de intrusión está haciendo que este tipo de exploración automatizada sea más eficiente y más barata. Lo que antes requería un equipo de varios analistas de amenazas ahora puede ejecutarse con scripts asistidos por LLM con conocimiento técnico de bajo nivel.
Por qué los ciclos de parcheo siguen siendo el problema de fondo
CVE-2026-32201 es un recordatorio de algo que el sector de la ciberseguridad repite cada mes desde hace décadas y que no parece calar: la mayoría de los compromisos exitosos no explotan vulnerabilidades de día cero desconocidas. Explotan vulnerabilidades con parche disponible en sistemas que no se actualizaron a tiempo.
Según los datos del informe M-Trends 2026, el tiempo medio que un atacante permanece en una red comprometida antes de ser detectado sigue siendo de 16 días. Durante esas dos semanas, los equipos de seguridad tienen que identificar el punto de entrada, contener el daño y determinar qué datos se han exfiltrado. Para una organización sin capacidad de respuesta a incidentes madura, ese plazo es suficiente para un daño irreparable.
Aplicar el parche de mayo es obligatorio. El resto son mitigaciones mientras se parchea.
0 Comentarios