Parche de emergencia para SharePoint: actualiza ya

Qué pasa

Microsoft emitió un parche fuera de banda para SharePoint — es decir, fuera del ciclo mensual Patch Tuesday. Ese movimiento tiene un significado claro: o hay explotación activa *in-the-wild* ya documentada, o la vulnerabilidad tiene un CVSS (puntuación de riesgo de 0 a 10) tan alto que esperar semanas sería irresponsable.

Los detalles técnicos del CVE no estaban completamente publicados en el momento de esta nota, lo cual es coherente con la estrategia de Microsoft de limitar la ventana de exposición antes de que salga un PoC (código que demuestra que el bug se puede explotar) público.

SharePoint On-Premises es el vector más expuesto. SharePoint Online (Microsoft 365) recibe el fix de forma automática vía Microsoft, pero los despliegues *on-prem* dependen de que el equipo de administración aplique el parche manualmente.

Por qué importa

SharePoint es literalmente las llaves del reino en entornos corporativos. No es hipérbole: concentra documentos financieros, credenciales guardadas en archivos, flujos de aprobación y, lo más crítico, está integrado de forma nativa con Active Directory (AD) (directorio central de identidades y permisos en entornos Windows).

Un RCE (ejecución remota de código — el atacante hace correr lo que quiera en el servidor) sobre SharePoint abre la puerta a movimiento lateral inmediato, volcado de credenciales y, en muchos casos, *domain takeover* completo. Los grupos APT (grupos de hackers patrocinados por un estado) llevan años usando SharePoint como punto de entrada preferido en organizaciones gubernamentales y empresas del Fortune 500.

La urgencia del parche fuera de banda amplifica todo esto: si Microsoft no podía esperar al próximo martes, es porque alguien ya está explotando esto o está a punto de hacerlo.

Qué hacer

• Aplica el parche en SharePoint On-Premises hoy. Sin excepciones por ventana de mantenimiento.
• Verifica que SharePoint Online (M365) ya refleja la actualización en el portal de administración.
• Revisa logs de acceso de las últimas 72 horas buscando requests anómalos a endpoints `/layouts/`, `/_vti_bin/` o accesos no autenticados con respuestas 200.
• Si tienes un SOC (equipo de operaciones de seguridad que monitoriza amenazas), escala la revisión a prioridad alta hasta confirmar que no hay IOC (huellas técnicas que delatan el ataque) previos al parche.
• Bloquea acceso externo a SharePoint On-Premises si no es estrictamente necesario hasta confirmar el parche aplicado.

Los patches fuera de banda de Microsoft en SharePoint tienen historial de convertirse en ransomware entry points en menos de 48 horas tras publicación. La ventana de acción es corta.