El desastre se gestaba en España y en todo el mundo el pasado 21 de julio: una vulnerabilidad zero-day ubicada en un servicio de Microsoft era aprovechada por hackers poniendo en jaque a agencias y gobiernos de todo el mundo. Un problema que ha adquirido una dimensión todavía más preocupante.

Tras saberse que algunos de los atacantes que hicieron objetivo algunas de las agencias más importantes de EE.UU eran chinos, Bloomberg adelanta que una de las afectadas no fue otra que la Administración Nacional de Seguridad Nuclear (NNSA).

Esta agencia se encarga del mantenimiento y diseño del armamento nuclear de Estados Unidos, y pertenece directamente al Departamento de Energía. Una agencia federal que está directamente relacionada con la salvaguarda de la seguridad nacional a través de programas nucleares.

La NNSA fue afectada por ataques hacker

La responsabilidad de la NNSA se divide en varias subcategorías de alto calado. No solo es la responsable de mantener y mejorar aspectos como la seguridad, la protección y la efectividad del arsenal nuclear del país, sino que también vela por la reducción de su uso en un plano global.

También se dedica a proporcionar a la Marina de los Estados Unidos elementos para tener una propulsión nuclear segura, además de ofrecer respuesta a emergencias nucleares en terreno nacional. Incluso proporciona a la Armada reactores nucleares para sus navíos submarinos.

Con esta perspectiva, la idea de que esta agencia haya sido atacada es más preocupante si cabe. Citando un correo electrónico del Departamento de Energía de los EE.UU, Bloomberg recoge las declaraciones de la agencia en la que quitan mucha gravedad al asunto.

En palabras del Departamento, el pasado viernes 18 "la explotación de una vulnerabilidad zero-day en Microsoft SharePoint comenzó a afectar al Departamento de Energía". Este, expone el portavoz, se vio "mínimamente afectado".

Y es que según el organismo público, el uso generalizado de Microsoft 365 ha evitado que la brecha de seguridad realmente llegara a afectarles. "Un número muy reducido de sistemas se vio afectado; todos los sistemas afectados se están restaurando", apostilló el comunicado.

Los atacantes, según la propia Microsoft y otras empresas como Google, tienen vinculación directa con China. Concretamente citaron a los grupos hacer de la rama Typhoon, tales como Silk Typhoon, Linen Typhoon y Violet Typhoon, entre otros. Otro grupo llamado Storm-2603 explotó estas vulnerabilidades.

Microsoft explica en su blog que Linen y Violet explotaron estas vulnerabilidades atacando servidores SharePoint que estaban conectados a Internet (que no en la nube, los cuales no se vieron afectados). Todos ellos vinculados a China.

"Microsoft recomienda a los clientes usar versiones compatibles de servidores SharePoint locales con las últimas actualizaciones de seguridad", relata la compañía de Redmond. No obstante, hay varios problemas.

La vulnerabilidad zero-day permitía a los atacantes extraer las claves criptográficas de servidores locales de SharePoint, dando acceso privilegiado a los hackers para que pudieran navegar por la red afectada, robar documentos, instalar puertas traseras, etcétera.

El problema es que dado que este sistema da privilegios a los hackers, estos mantienen estos derechos incluso después de que el servidor se apague o reinicie, causando un riesgo mayor para servidores con información delicada.

Microsoft recomienda implementar y habilitar sistemas como Microsoft Defender, la Interfaz de Análisis Antimalware (AMSI) en los servidores SharePoint locales y aplicar los parches de seguridad, así como rotar las claves ASP.NET y reiniciar los servicios Internet Information Services (IIS).