• Tweet

Los expertos de seguridad se preocupan de que los hackers puedan explotar la vulnerabilidad para robar información confidencial empresarial utilizada por los clientes de SharePoint.

Microsoft está trabajando para corregir un error en su grupo de trabajo de SharePoint 2007, después de que una firma suiza liberara esta semana el código que podría ser utilizado en un ataque.

El código de prueba de concepto fue liberado después de dos semanas en que la consultoría en seguridad High-Tech Bridge dijo conocer el problema de Microsoft.

Aunque Microsoft no ha dicho mucho acerca de la gravedad del error, los expertos en seguridad temen que los hackers puedan explotar la vulnerabilidad con el fin de robar información confidencial empresarial utilizada por los clientes de SharePoint, quienes utilizan el software para la creación de portales web y colaboran en proyectos internos.

High-Tech Bridge descubrió en el SharePoint lo que se conoce como una falla de cross-site scripting. Si el atacante puede obtener un usuario del SharePoint al hacer clic en una liga, entonces la falla permite al atacante principalmente tomar el control de la cuenta del usuario.

“Con un poco de conocimiento se puede enviar una liga al usuario del SharePoint y si puedes hacer un script de cross-site, entonces se puede hacer una extracción de datos sobre cualquiera de las cuentas a las que se tiene acceso”, dijo Jeremiah Grossman, director de tecnología de la consultoría de seguridad web WhiteHat Security.

“Una explotación exitosa de esta vulnerabilidad podría comprometer una aplicación, el robo de credenciales de autenticación basado en cookies, divulgación o modificación de datos confidenciales”, dijo High-Tech Bridge en una nota publicada con el código. La compañía no pudo ser localizada inmediatamente para hacer comentarios.

Incluso si los atacantes pudieran tomar el control de la cuenta del usuario, todavía podrían tener dificultades para la obtención de datos fuera de la red de la compañía, dijo Thierry Zoller, consultor principal de seguridad de Verizon Business. “Actualmente no está claro si existe un medio para extraer documentos a través de este vector de ataque”, dijo a través de mensajes instantáneos.

Microsoft ha reproducido el error en sus sistemas internos y ahora está trabajando en un aviso de seguridad que incluirá más información sobre el error y lo que los clientes pueden hacer para proteger sus sistemas, dijo Jerry Bryant, director de seguridad de programación de Microsoft, en un mensaje de correo electrónico.

Dos semanas no es mucho tiempo para reparar el error, especialmente uno que fue divulgado el día anterior a las actualizaciones mensuales de seguridad de Microsoft, pero High-Tech Bridge dice que automáticamente divulgaron los detalles de la vulnerabilidad dos semanas después de la notificación del proveedor.

La compañía no pude ser localizada inmediatamente para hacer comentarios.