(https://i.imgur.com/fvSLBDZ.jpeg)
Microsoft ha publicado este domingo una actualización de seguridad crítica para SharePoint Server local, corrigiendo una vulnerabilidad activamente explotada que permite ejecución remota de código (RCE) mediante la deserialización de datos no confiables. Identificada como CVE-2025-53770, esta falla cuenta con una puntuación CVSS de 9.8, lo que la clasifica como una amenaza de alta severidad.
Según el aviso oficial, Microsoft confirmó que tiene conocimiento de ataques activos dirigidos a clientes empresariales que utilizan versiones locales de SharePoint Server vulnerables.
CVE-2025-53771: Nueva vulnerabilidad de suplantación de identidad en SharePointAdemás de la RCE, Microsoft también reveló una segunda vulnerabilidad etiquetada como CVE-2025-53771 (CVSS 6.3), relacionada con suplantación de identidad (spoofing) a través de un recorrido de ruta no restringido.
Citar"La validación incorrecta de rutas en Microsoft SharePoint permite a atacantes autenticados realizar suplantación dentro de la red local", explicó la compañía en su boletín de seguridad publicado el 20 de julio de 2025.
Ambas vulnerabilidades afectan únicamente a SharePoint Server on-premises, sin impacto en Microsoft 365 o SharePoint Online.
ToolShell: cadena de exploits activa y encadenadaMicrosoft indicó que CVE-2025-53770 y CVE-2025-53771 están relacionadas con otras dos fallas anteriores: CVE-2025-49704 y CVE-2025-49706, ya documentadas.
Estas vulnerabilidades pueden ser encadenadas como parte de un ataque avanzado llamado ToolShell, que permite ejecución remota de código e infiltración persistente. La compañía ya ha lanzado parches con protecciones más robustas como parte del ciclo de actualizaciones de seguridad de julio de 2025.
Versiones de SharePoint Server afectadas y actualizadasLas siguientes versiones locales de SharePoint Server ya cuentan con correcciones disponibles:
- SharePoint Server 2019 (16.0.10417.20027)
- SharePoint Server 2016 (16.0.5508.1000)
- SharePoint Subscription Edition (SE)
- SharePoint Server 2019 Core
Microsoft recomienda aplicar los últimos parches de seguridad y rotar las claves ASP.NET de SharePoint tras la instalación, además de reiniciar IIS en todos los servidores.
Ataques activos: más de 50 organizaciones comprometidasLa firma de ciberseguridad Eye Security reportó que al menos 54 entidades han sido comprometidas, incluyendo:
- Bancos
- Universidades
- Gobiernos
- Organizaciones de salud y hospitales
Los ataques comenzaron el 18 de julio de 2025, y han sido lo suficientemente graves como para que la CISA (Agencia de Seguridad de Infraestructura de EE. UU.) incluya CVE-2025-53770 en su Catálogo de Vulnerabilidades Explotadas Conocidas (KEV), obligando a las agencias federales a aplicar el parche antes del 21 de julio.
Palo Alto Networks alerta sobre ataques persistentes y robo de datosUnit 42, el equipo de inteligencia de amenazas de Palo Alto Networks, confirmó que los atacantes están:
- Eludiendo controles de identidad como MFA y SSO
- Robando claves criptográficas
- Instalando backdoors persistentes
- Exfiltrando datos confidenciales
"Si tiene un servidor de SharePoint local expuesto a Internet, debe asumir que ya ha sido comprometido", advirtió Michael Sikorski, CTO de Unit 42. "El simple parcheo no es suficiente. Se recomienda cortar inmediatamente el acceso a Internet hasta aplicar medidas completas de mitigación".
Medidas de mitigación recomendadas por MicrosoftPara proteger los entornos empresariales, Microsoft recomienda:
- Ejecutar versiones soportadas de SharePoint Server (2016, 2019 o Subscription Edition)
- Aplicar todas las actualizaciones de seguridad de julio 2025
- Activar la Interfaz de examen antimalware (AMSI) en modo completo
- Utilizar soluciones de seguridad como Microsoft Defender for Endpoint
- Rotar las claves de máquina ASP.NET tras cada parche crítico
- Reiniciar IIS después de realizar cambios de seguridad
Amenaza crítica exige acción inmediataEl descubrimiento y explotación activa de CVE-2025-53770 y CVE-2025-53771 subrayan la urgente necesidad de reforzar la seguridad en servidores locales de SharePoint. Dado el impacto en sectores críticos y la posibilidad de movimiento lateral hacia otros servicios Microsoft (Teams, OneDrive, Outlook, Office 365), se recomienda actuar con rapidez:
- Aplicar los parches sin demora
- Auditar claves crip
- Desconectar servidores expuestos si no hay parche aún implementadotográficas y credenciales
- Supervisar actividad inusual en SharePoint
Fuente: https://thehackernews.com