Los atacantes están explotando activamente CVE-2025-53770, una vulnerabilidad crítica de día cero en Microsoft SharePoint, para ejecutar código remoto sin autenticación. Esta falla permite a los atacantes implementar malware persistente y potencialmente extraer datos confidenciales de entornos locales sin parches.
¿Cuál es la amenaza?
CVE-2025-53770 es una vulnerabilidad de día cero recién descubierta que afecta a servidores Microsoft SharePoint locales, ampliamente utilizados para la colaboración interna y el intercambio de archivos. Esta falla se clasifica como una vulnerabilidad de RCE, lo que permite a los atacantes ejecutar código malicioso en los servidores afectados sin necesidad de autenticación ni acceso especial.
Los servidores de SharePoint suelen volverse vulnerables debido a la falta de parches, errores de configuración críticos o la exposición de servicios conectados a internet. Al ser un exploit de día cero, se utilizó activamente antes de que Microsoft publicará una solución, lo que dejó muchos sistemas expuestos temporalmente.
Los atacantes aprovechan la vulnerabilidad enviando solicitudes HTTP especialmente diseñadas a servidores vulnerables, engañandolos para que se ejecuten código arbitrario. Esto puede provocar la instalación de puertas traseras, la exfiltración de datos o el tráfico lateral a través de la red.
Los indicadores de compromiso incluyen:
- Un shell web spinstall0.aspx malicioso en el directorio de diseños de SharePoint.
- Solicitudes POST inusuales a ToolPane.aspx
- Procesos de trabajo IIS (w3wp.exe) que generan procesos de PowherShell o cmd
- Uso elevado de la CPU
- Tráfico de red saliente sospechoso.
¿Por qué es digno de mención?
Esta vulnerabilidad se está explotando activamente en una campaña global de ciberespionaje que afecta a más de 100 organizaciones. Tras una explotación exitosa, los atacantes pueden robar claves criptográficas, obtener acceso persistente y eludir los controles de seguridad tradicionales, todo ello sin ser detectados.
Aunque microsoft ha publicado parches, muchas organizaciones siguen siendo vulnerables debido a la demora en su aplicación o a una mitigación incompleta. Microsoft corrige las vulnerabilidades relacionadas con (CVE-2025-49706 y CVE-2025-49704) a principios de este mes. Sin embargo, los atacantes ya han desarrollado soluciones alternativas, lo que pone de manifiesto la velocidad y la sofistificación de los actores de amenazas actuales.
Incluso las organizaciones que no usan SharePont directamente están en riesgo. Los servidores comprometidos pueden actuar como plataformas de lanzamiento para ataques a la cadena de suministro, lo que podría afectar a socios proveedores y clientes, y amplificar de esta manera la amenaza en todos los ecosistemas.
¿Cuál es la exposición o riesgo?
Si se explota, la vulnerabilidad CVE-2025-53770 permite a los atacantes obtener acceso remoto no autorizado, ejecutar código malicioso, robar datos confidenciales y, potencialmente, interrumpir operaciones comerciales críticas. Las consecuencias van más allá del compromiso técnico. Las víctimas pueden enfrentarse a escrutinio regulatorio y multas, responsabilidad legal, daños a la marca y la reputación, tiempo de inactividad operativa y dificultades para responder a incidentes y recuperarse.
Un servidor SharePont vulnerado también puede utilizarse para instrucciones adicionales en la red, lo que aumenta el riesgo de ransomware, espionaje o robo de propiedad intelectual. Estos efectos en cascada hacen que la detección y mitigación rápidas sean cruciales.
Se recomienda realizar algunas de las siguientes acciones para mitigar el impacto:
Aplicar las siguientes actualizaciones de emergencia para Microsoft SharePoint:
La actualización KB5002754 para Microsoft SharePoint Server 2019 Core y KB5002753 para el paquete de idioma de Microsoft SharePoint Server 2019.
La actualización KB5002760 para Microsoft SharePoint Enterprise Server y KB5002759 para el paquete de idioma de Microsoft SharePoint Enterprise Server 2016.
La actualización KB5002768 para Microsoft SharePoint Subscription Edition.
Rotar la claves de la máquina de SharePont después de la actualización:
Manualmente a través de PowerShell:
- Para actualizar las claves de la máquina para una aplicación web mediante PowerShell e implementarlas en una granja de SharePoint:
- Genera la clave de la maquina en PowerShell usando Set-SPMachineKey-WebApplication <SPWebApplicationPipeBind>
- Implementa la clave de la máquina en la granja en PowerShell usando Set-SPMachineKey-WebApplication <SPWebApplicationPipeBind>
Manualmente a través del administrador central:
Active el trabajo del temporizador de rotación de clave de máquina realizando los siguientes pasos:
- Diríjase al sitio de Administración Central
- Vaya a monitoreo – Revisar definición del trabajo.
- Busque el trabajo de rotación de clave máquina y seleccione Ejecutar ahora.
- Una vez completa la rotación, reinicie IIS en todos los servidores de SharePoint mediante iisrese.exe.
- Restrinja la exposición a internet de los servidores de SharePoint siempre que sea posible. Usa firewalls, VPN o controles de acceso de confianza cero para limitar el acceso únicamente a usuarios y redes de confianza.
- Habilite el registro detallado y supervise la actividad del servidor de SharePoint para detectar comportamientos inusuales, como cargas o cambios de archivos inesperados y conexiones desde direcciones IP desconocidas.
- Aisle los servidores de SharePoint de otros sistemas internos críticos para reducir el riesgo de movimiento lateral si un atacante obtiene acceso.
- Cree conciencia sobre esta vulnerabilidad y refuerce las mejores prácticas para aplicar parches y mantener configuraciones seguras.
¿Cómo podemos apoyarte?
El Firewall CloudGen y los dispositivos de sitio SecureEdge, protegen las instancias de SharePoint contra esta vulnerabilidad. Desde el 20 de julio, todas las instancias de SharePoint se encuentran siempre protegidas.
Acércate a nosotros para brindarte más información de nuestro programa de canales:
- Sitio web: www.pccommayorista.com
- Registro de canales: https://www.pccommayorista.com/Socio-censornet-suite.aspx
- Teléfono: +52 (55) 5599.0670
- Correo de contacto: contacto@pccommayorista.com
JR
