CVE

Explotación masiva de Zero-Day en Microsoft SharePoint Server

Avatar Por Mid No hay comentarios

Explotación masiva de Zero-Day Microsoft SharePoint Server (on-premise) – Actualizado

Tiempo estimado de lectura: 5 minutos | Dificultad técnica: Alta

Conclusiones clave

  • Vulnerabilidad crítica de deserialización en Microsoft SharePoint Server permite RCE no autenticada.
  • CVE-2025-53770 tiene una puntuación CVSS de 9.8, lo que la considera altamente severa y explotable.
  • Se han detectado ataques activos dirigidos a clientes que operan SharePoint Server locales.
  • Se recomienda la integración de AMSI y medidas de seguridad adicionales hasta el lanzamiento de un parche oficial.
  • Los atacantes están utilizando una cadena de exploits conocida como ToolShell para vulnerar la seguridad de SharePoint.

Índice

  1. Naturaleza de la vulnerabilidad
  2. Severidad del problema
  3. Medidas recomendadas
  4. Recomendaciones de mitigación
  5. Actualización

Naturaleza de la vulnerabilidad

Se trata de una vulnerabilidad de deserialización de datos no confiables que permite a un atacante no autenticado ejecutar código de forma remota (Remote Code Execution – RCE) a través de la red. Esto implica que un intruso puede obtener control total del servidor SharePoint, tener acceso a datos sensibles, modificar información y, potencialmente, moverse lateralmente dentro de la red.

Severidad del problema

Con una puntuación CVSS de 9.8, este problema se categoriza como crítico, lo que indica que es altamente severo y fácilmente explotable. Microsoft ha reconocido que ya existen exploits desarrollados para esta vulnerabilidad y que está siendo utilizada activamente en ataques. «La deserialización de datos no confiables en Microsoft SharePoint Server on-premise permite a un atacante no autorizado ejecutar código a través de una red», declaró Microsoft en su aviso sobre este nuevo Zero-Day.

Un aviso emitido por Redmond destacó que hay conocimiento de ataques activos dirigidos a clientes que operan SharePoint Server locales, subrayando que SharePoint Online en Microsoft 365 no se ve afectado. La preocupación aumenta tras las alertas emitidas por Eye Security y Palo Alto Networks Unit 42, quienes han advertido sobre la combinación de CVE-2025-49706 y CVE-2025-49704 (CVSS: 8.8), que es una vulnerabilidad de inyección de código en SharePoint, que permite la ejecución de comandos arbitrarios en instancias vulnerables. Esta cadena de exploits es conocida como ToolShell.

Dada su relación con la variante CVE-2025-53770, se cree que estos ataques están interconectados. La actividad delictiva generalmente implica la entrega de cargas útiles ASPX mediante PowerShell, lo que se utiliza para robar la configuración de MachineKey del servidor SharePoint, que incluye ValidationKey y DecryptionKey, para garantizar el acceso persistente. La empresa de ciberseguridad con sede en los Países Bajos advirtió que estas claves son esenciales para crear cargas útiles __VIEWSTATE válidas, y su acceso convierte cada solicitud autenticada en SharePoint en una oportunidad para la ejecución remota de código.

Con la cadena ToolShell (CVE-2025-49706 + CVE-2025-49704), los atacantes están extrayendo la clave de validación (ValidationKey) directamente de la memoria o la configuración. Una vez que esta información criptográfica es filtrada, el atacante puede generar cargas útiles __VIEWSTATE completamente válidas y firmadas. Utilizando ysoserial, el atacante puede crear tokens válidos de SharePoint que permiten la RCE.

Piet Kerkhofs, CTO de Eye Security, mencionó, «estamos identificando oleadas masivas de exploits». «El impacto será considerable, ya que los atacantes se mueven lateralmente con gran rapidez utilizando esta ejecución remota de código». También notificaron a cerca de 75 organizaciones que sufrieron brechas de seguridad tras detectar shells web maliciosos en sus servidores de SharePoint, incluyendo grandes empresas y organismos gubernamentales de diversas partes del mundo.

Medidas recomendadas

Ante la ausencia de una actualización oficial, Microsoft aconseja a los clientes establecer la integración de la Interfaz de Análisis Antimalware (AMSI) en SharePoint e implementar Defender AV en todos los servidores de SharePoint. Es importante señalar que la integración de AMSI se habilitó de manera predeterminada en la actualización de seguridad de septiembre de 2023 para SharePoint Server 2016/2019 y en la actualización de características de la versión 23H2 para SharePoint Server Subscription Edition.

Para quienes no puedan activar AMSI, se sugiere desconectar SharePoint Server de Internet hasta que se disponga de una actualización de seguridad. Además, se recomienda implementar Defender for Endpoint para detectar y bloquear actividades posteriores al exploit. Microsoft Defender para Endpoint ofrece alertas que pueden señalar actividades de amenazas asociadas con esta vulnerabilidad, aunque estas advertencias pueden generarse a raíz de actividades de amenaza no relacionadas.

Los siguientes títulos de alerta dentro del portal del Centro de Seguridad de Microsoft Defender podrían indicar actividad de amenazas en su red:

  • Posible instalación de shell web
  • Posible explotación de vulnerabilidades en servidores de SharePoint
  • Comportamiento sospechoso del proceso de trabajo de IIS
  • Malware «SuspSignoutReq» bloqueado en un servidor de SharePoint
  • Malware «HijackSharePointServer» bloqueado en un servidor de SharePoint

De acuerdo con ShadowServer, existen aproximadamente 9,300 direcciones IP de SharePoint expuestas, y aunque ya existe un script para identificar servidores vulnerables, Microsoft aún no ha actualizado sus avisos sobre CVE-2025-49706 y CVE-2025-49704 para reflejar la explotación activa.

Recomendaciones de mitigación

Además de aplicar el próximo parche oficial de Microsoft en cuanto esté disponible, las organizaciones deben implementar de inmediato varias mitigaciones específicas:

  1. Proteger el entorno local de SharePoint Server mediante la integración de AMSI y desplegar Defender AV en todos los servidores de SharePoint.
  2. Restringir el acceso a los servidores de SharePoint mediante firewalls estrictos, limitando la exposición únicamente a direcciones IP o conexiones VPN de confianza.
  3. Habilitar y aplicar una validación y monitorización de entrada rigurosas en los endpoints de SharePoint para detectar intentos anómalos de deserialización.
  4. Utilizar firewalls de aplicación o WAF con reglas personalizadas para bloquear cargas serializadas sospechosas.
  5. Realizar auditorías minuciosas de los permisos de SharePoint y eliminar privilegios administrativos innecesarios que puedan aumentar el riesgo.
  6. Implementar segmentación de red para aislar los servidores de SharePoint de infraestructura crítica y depósitos de datos sensibles.
  7. Incrementar el registro y la monitorización en tiempo real para identificar patrones inusuales que puedan indicar intentos de explotación.
  8. Revisar los registros de acceso para rastrear actividades sospechosas, incluido la creación del archivo spinstall0.aspx, que indica una posible explotación exitosa.
  9. Notificar a los equipos de TI y seguridad sobre los indicadores de vulnerabilidad relacionados con las deserializaciones.

La implementación de estas acciones, combinada con la rápida aplicación de parches, ayudará a reducir significativamente el riesgo asociado con esta vulnerabilidad.

Actualización

El domingo, Microsoft lanzó nuevas medidas y reveló detalles sobre otra vulnerabilidad, que, según indica, ha sido abordada con «protecciones más robustas».

Referencias

Avatar

Por Mid

Entradas relacionadas

Te has perdido

ansible

Automatiza tu primer clúster Kubernetes local con Ansible (¡sin complicaciones!)

apt

APT36 ataca infraestructuras críticas con archivos .desktop

docker-compose

Despliega tu propia suite de análisis de logs con Loki, Promtail y Grafana en Docker Compose

kubernetes

Despliega tu propio servidor de MinIO en Kubernetes: Almacenamiento S3-compat en tu VPS