Una cadena de vulnerabilidades críticas en Microsoft SharePoint fue explotada por grupos vinculados al Estado chino para comprometer una cantidad importante de servidores en todo el mundo. Las brechas afectan a organismos públicos, universidades, empresas de energía y tecnológicas, en una ofensiva que sigue en curso.
El pasado fin de semana Microsoft advirtió que las vulnerabilidades de día cero de SharePoint, identificadas como CVE-2025-53770 y CVE-2025-53771, estaban siendo explotadas activamente desde el viernes 18 de julio, comprometiendo, al menos, 85 servidores en el mundo.
Los incidentes de este fin de semana se suman a otros ciberataques que han explotado vulnerabilidades en servidores on-premises SharePoint este año. Desde Microsoft apuntan a la campaña conocida como ToolShell, atribuida a grupos de amenazas persistentes avanzadas (APT) con vínculos al gobierno chino, entre ellos Linen Typhoon, Violet Typhoon y Storm-2603.
Todo comenzó con la explotación de dos fallas reveladas originalmente durante la actividad Pwn2Own de Berlín, en mayo pasado, y que fueron identificadas como CVE-2025-49706 (omisión de autenticación) y CVE-2025-49704 (inyección de código). Aunque Microsoft parcheó ambas vulnerabilidades durante el Patch Tuesday de este mes de julio, los atacantes rápidamente encontraron formas de evadir los parches a través de dos variantes nuevas: CVE-2025-53770 y CVE-2025-53771, aunque desde Microsoft reconocieron que esta última aún no ha sido explotada activamente.
La gravedad del asunto aumentó con la aparición de un exploit de prueba de concepto (PoC) publicado en GitHub. Investigadores de varias empresas del rubro, como Eye Security, Check Point, Palo Alto Networks y SentinelOne detectaron una creciente ola de intrusiones desde el 7 de julio, con un aumento significativo a partir del jueves 17. Entre los sectores más afectados están el gubernamental, telecomunicaciones, software y energía, principalmente en Europa y América del Norte.
Entre las víctimas identificadas en los Estados Unidos, figuran una universidad privada en el estado de California, una empresa de inteligencia artificial, un operador energético, una organización de gobierno del estado de Floridad y una entidad financiera en el estado de Nueva York.
La Agencia de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) habría manifestado que los atacantes también accedieron a configuraciones internas, sistemas de archivos y lograron ejecutar código de forma remota, razón por la cual incluyó la vulnerabilidad en su catálogo de amenazas activas y ordenó a diferentes organizaciones del gobierno federal y entidades críticas, aplicar mitigaciones de forma urgente este lunes.
En un guía para los clientes de ShrePoint publicada por Microsoft, la compañía instó a los administradores a no solo actualizar sus sistemas sino tambiéna rotar las claves de máquina ASP.NET y revisar registros de IIS para identificar signos de compromiso.
Microsoft ha publicado actualizaciones de emergencia para SharePoint Server 2016, 2019 y la edición de suscripción (Subscription Edition), incluyendo mayor protección que los parches anteriores. Además, la empresa recomiendó activar la interfaz de análisis antimalware (AMSI) y desplegar Microsoft Defender for Endpoint. En casos donde no sea posible aplicar estas medidas, se sugiere desconectar los servidores de internet de forma inmediata.
Sin embargo, la aparición del exploit público y la sofisticación de las técnicas utilizadas -como el uso de honeypots señuelo, cadenas de referer modificadas y extracción directa de secretos- ha hecho temer que la campaña se propague aún más. La empresa de ciberseguridad SentinelOne advirtió este martes sobre el posible uso compartido de herramientas en comunidades clandestinas, lo que podría acelerar la explotación a nivel global, mientras que la firma Eye Security puso de relieve que algunas organizaciones necesitarán apoyo externo especializado para contener el daño y evitar movimientos laterales hacia otros sistemas conectados como Outlook, Teams y OneDrive.
Ante esta situación, un vocero de Centro Nacional de Ciberseguridad del Reino Unido (NCSC) comentó que “estamos viendo un punto de inflexión en cómo las amenazas de día cero pueden ser explotadas masivamente en cuestión de días, incluso contra sistemas supuestamente actualizados”. Mientras tanto, Microsoft continúa publicando indicadores de compromiso (IoCs), guías técnicas y consultas a CERTs nacionales.
Debe estar conectado para enviar un comentario.