Microsoft ha lanzado una actualización de emergencia para corregir dos vulnerabilidades zero-day críticas que han sido activamente explotadas en ataques a servidores SharePoint locales en todo el mundo. Según estimaciones, más de 50 organizaciones ya han sido víctimas de estos ataques que aprovechan estas brechas de seguridad.
Las vulnerabilidades, identificadas como CVE-2025-53770 y CVE-2025-53771, afectan a las versiones de SharePoint Server Subscription Edition, SharePoint 2019 y SharePoint 2016. Es importante destacar que SharePoint 365 no se ve afectado, ya que estas vulnerabilidades solo impactan a la versión local de SharePoint Server.
Evasión de Parches de Seguridad
Lo más preocupante de estas vulnerabilidades zero-day es que evaden los parches de seguridad lanzados por Microsoft en la última actualización de julio. Esto significa que, a pesar de que Microsoft ya había corregido otras vulnerabilidades en SharePoint, estos nuevos fallos de seguridad permiten a los atacantes burlar esas protecciones.
Según Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica, «estas vulnerabilidades permiten a un atacante la ejecución de código de forma remota sin necesidad de autenticación y tomar control del servidor de la víctima«. Esto se debe a una debilidad en la «deserialización de datos no confiables», tal como lo describe Microsoft en su comunicado.
Ataques «ToolShell» en Aumento
Los ataques denominados «ToolShell» que explotan estas vulnerabilidades ya han afectado a compañías privadas y entidades gubernamentales, según informes de Cyberscoop. Si bien se han registrado intentos de explotación desde el 7 de julio, la actividad se intensificó significativamente los días 18 y 19 de julio, apuntando principalmente a empresas de telecomunicaciones, agencias gubernamentales y compañías de software.
Medidas Clave de Protección
Microsoft recomienda a las organizaciones que verifiquen qué versión de SharePoint utilizan y si tiene soporte oficial, para poder instalar los parches de seguridad correspondientes. Además, sugiere rotar las «machine keys» de ASP.NET del servidor de SharePoint y reiniciar IIS en todos los servidores.
Desde ESET, Camilo Gutiérrez Amaya enfatiza la importancia de mantener todos los sistemas debidamente actualizados, establecer contraseñas robustas, activar el doble factor de autenticación y contar con una solución de seguridad instalada en todos los dispositivos. Estar informado sobre las últimas amenazas también es clave para tomar las medidas de prevención necesarias.
No cabe duda de que estas vulnerabilidades zero-day en SharePoint Server representan una grave amenaza para las organizaciones que utilizan esta plataforma. Es fundamental que las empresas y entidades gubernamentales actúen con prontitud para aplicar los parches de seguridad y adoptar las mejores prácticas de ciberseguridad. Solo así podrán proteger sus sistemas y datos críticos de los ciberdelincuentes que buscan explotar estas brechas.
