Una vulnerabilidad de seguridad crítica en Microsoft SharePoint Server ha sido utilizada como parte de una campaña de explotación "activa y a gran escala".

La falla de día cero, identificada como CVE-2025-53770 (puntaje CVSS: 9.8), ha sido descrita como una variante de CVE-2025-49704 (puntaje CVSS: 8.8), un error de inyección de código y ejecución remota de código en Microsoft SharePoint Server que fue abordado por el gigante tecnológico como parte de sus actualizaciones del martes de parches de julio de 2025.

"La deserialización de datos no confiables en un servidor local de Microsoft SharePoint permite que un atacante no autorizado ejecute código a través de una red", afirmó Microsoft en un aviso publicado el 19 de julio de 2025.

El fabricante de Windows indicó además que está preparando y probando a fondo una actualización integral para resolver el problema. Agradeció a Viettel Cyber Security por descubrir y reportar la falla a través de la Iniciativa de Día Cero (ZDI) de Trend Micro.

En una alerta separada emitida el sábado, Redmond dijo que está al tanto de ataques activos dirigidos a clientes locales de SharePoint Server, pero enfatizó que SharePoint Online en Microsoft 365 no se ve afectado.

Los atacantes que explotan este fallo no solo inyectan código arbitrario, sino que también abusan de la forma en que SharePoint deserializa objetos no confiables, lo que les permite ejecutar comandos incluso antes de que se realice la autenticación. Una vez dentro, pueden falsificar cargas útiles confiables utilizando claves de equipo robadas para persistir o moverse lateralmente, a menudo mezclándose con la actividad legítima de SharePoint, lo que dificulta especialmente la detección y la respuesta sin una visibilidad exhaustiva de los endpoints.

A falta de un parche oficial, Microsoft insta a los clientes a configurar la integración de Antimalware Scan Interface (AMSI) en SharePoint e implementar Defender AV en todos los servidores de SharePoint.

Vale la pena señalar que la integración de AMSI está habilitada de forma predeterminada en la actualización de seguridad de septiembre de 2023 para SharePoint Server 2016/2019 y la actualización de características de la versión 23H2 para SharePoint Server Subscription Edition.

Para quienes no puedan habilitar AMSI, se recomienda desconectar SharePoint Server de internet hasta que haya una actualización de seguridad disponible. Para mayor protección, se recomienda implementar Defender for Endpoint para detectar y bloquear la actividad posterior a la vulnerabilidad.

La revelación se produce después de que Eye Security y Palo Alto Networks Unit 42 advirtieran sobre ataques que encadenan CVE-2025-49706 (puntuación CVSS: 6,3), un error de suplantación de identidad en SharePoint, y CVE-2025-49704 para facilitar la ejecución de comandos arbitrarios en instancias susceptibles. La cadena de exploits se conoce como ToolShell .

Pero dado que CVE-2025-53770 es una "variante" de CVE-2025-49704, se sospecha que estos ataques están relacionados.

Eye Security afirmó que los ataques a gran escala identificados utilizan CVE-2025-49706 para enviar una carga útil de ejecución remota de código mediante POST que explota CVE-2025-49704. "Creemos que el hallazgo de que añadir '_layouts/SignOut.aspx' como referencia HTTP convierte CVE-2025-49706 en CVE-2025-53770", declaró.

Vale la pena mencionar aquí que ZDI ha caracterizado a CVE-2025-49706 como una vulnerabilidad de omisión de autenticación que surge de cómo la aplicación maneja el encabezado HTTP Referer proporcionado al punto final ToolPane ("/_layouts/15/ToolPane.aspx").

La actividad maliciosa implica esencialmente la entrega de cargas útiles ASPX a través de PowerShell, que luego se utilizan para robar la configuración MachineKey del servidor SharePoint , incluidas ValidationKey y DecryptionKey, para mantener el acceso persistente.

La empresa holandesa de ciberseguridad afirmó que estas claves son cruciales para generar cargas útiles __VIEWSTATE válidas y que obtener acceso a ellas convierte efectivamente cualquier solicitud de SharePoint autenticada en una oportunidad de ejecución remota de código.

"Seguimos identificando oleadas masivas de exploits", declaró Piet Kerkhofs, director de tecnología de Eye Security, a The Hacker News. "Esto tendrá un gran impacto, ya que los atacantes se están moviendo lateralmente utilizando esta ejecución remota de código con gran velocidad".

Al momento de escribir este artículo, se han identificado más de 85 servidores de SharePoint en todo el mundo comprometidos con el shell web malicioso. Estos servidores pirateados pertenecen a 29 organizaciones, entre ellas multinacionales y entidades gubernamentales.

"__VIEWSTATE es un mecanismo fundamental en ASP.NET que almacena información de estado entre solicitudes", afirmó Benjamin Harris, director ejecutivo de watchTowr. "Está firmado criptográficamente y, opcionalmente, cifrado mediante ValidationKey y DecryptionKey".

Con estas claves, los atacantes pueden crear cargas útiles __VIEWSTATE falsificadas que SharePoint aceptará como válidas, lo que permite la ejecución remota de código sin problemas. Este enfoque dificulta especialmente la remediación: un parche típico no rotaría automáticamente estos secretos criptográficos robados, lo que deja a las organizaciones vulnerables incluso después de aplicar el parche.

Harris también señaló que aún no está claro si parte de la actividad asociada con CVE-2025-53770 puede haberse superpuesto o atribuido erróneamente a CVE-2025-49704 o CVE-2025-49706.

La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA), en una alerta , dijo que está al tanto de la explotación activa de CVE-2025-53770, que permite el acceso no autenticado a los sistemas de SharePoint y la ejecución de código arbitrario a través de la red.

"Un socio de confianza informó a CISA sobre la explotación y contactamos a Microsoft de inmediato para tomar medidas", declaró Chris Butera, subdirector ejecutivo interino de Ciberseguridad. "Microsoft está respondiendo con rapidez y estamos trabajando con la empresa para notificar a las entidades potencialmente afectadas sobre las medidas de mitigación recomendadas. CISA anima a todas las organizaciones con servidores Microsoft SharePoint locales a tomar las medidas recomendadas de inmediato".

Este es un ejemplo importante de colaboración operativa en acción para la seguridad nacional. Este tipo de identificación y respuesta rápida a las ciberamenazas es posible gracias a la confianza y la cooperación que se han forjado entre la comunidad investigadora, los proveedores de tecnología y CISA.

Al ser contactada para obtener comentarios, Microsoft indicó a la publicación que no tenía nada que compartir en este momento, salvo la guía para el cliente. Desde entonces, la compañía ha publicado un parche para CVE-2025-53770 y una falla recientemente descubierta, identificada como CVE-2025-53771. Para más detalles, consulte esta noticia .

(Microsoft ha aclarado desde entonces que CVE-2025-53770 añade más protecciones para CVE-2025-49704, y no CVE-2025-49706 como se indicó anteriormente. También ha revelado una nueva falla CVE-2025-53771 que, según afirma, incluye más protecciones que CVE-2025-49706. Esto indica que hay dos nuevos días cero, ambos son omisiones para las correcciones originales de Microsoft a principios de este mes. La noticia se ha actualizado para reflejar estos cambios).

Fuente: https://thehackernews.com/2025/07/critical-microsoft-sharepoint-flaw.html