Vulnerabilidades en Microsoft SharePoint

A pesar de que Microsoft abordó las vulnerabilidades CVE-2025-49704 y CVE-2025-49706 durante el martes de parches de julio, la compañía advierte ahora que actores de amenazas han conseguido evadir las correcciones mediante nuevos exploits. A continuación, se detallan estas nuevas vulnerabilidades. 

 

CVE-2025-53770 

La vulnerabilidad critica conocida como CVE-2025-53770 o “ToolShell” fue calificada con un CVSS de 9.8 y se ha descrito como una variante de CVE-2025-49704, un error de inyección de código y ejecución remota de código en Microsoft SharePoint Server. 

 

La explotación de esta nueva vulnerabilidad permite la deserialización de datos no confiables en servidores de Microsoft SharePoint locales, lo que a su vez podría dar lugar a la ejecución remota de código y al acceso completo al contenido almacenado en SharePoint.  

 

La Unidad 42 de Palo Alto Networks advierte que se trata de una campaña de ataques a gran escala que está afectando a organizaciones gubernamentales, tecnológicas, empresariales, educativas y medicas en todo el mundo. Los atacantes están eludiendo los controles de identidad, incluidos MFA y SSO, para obtener acceso privilegiado y están instalando puertas traseras para mantener el acceso a los sistemas comprometidos. En particular, están logrando obtener claves internas de seguridad utilizadas por SharePoint las cuales permiten manipular una función llamada __VIEWSTATE, que sirve para mantener información entre diferentes acciones dentro del sistema.  

 

Si tiene SharePoint on-premise, es decir local, expuesto a Internet, lo más probable es que se ha visto comprometido en este punto. Aplicar los parches actuales no basta para eliminar por completo el riesgo. Lo más preocupante es que SharePoint está muy integrado con otros servicios de Microsoft como Office, Teams, OneDrive y Outlook, que suelen contener información muy valiosa para los atacantes. Como acción inmediata, expertos recomiendan desconectar SharePoint de Internet hasta contar con una solución definitiva. 

 

CVE-2025-53771 

Esta vulnerabilidad, relacionada con la CVE-2025-49706 y clasificada con una severidad media (CVSS 6.3), está vinculada a un fallo en la validación de rutas en Microsoft Office SharePoint. El problema surge porque no se aplican correctamente las restricciones sobre los nombres de ruta, lo que puede permitir el acceso a directorios protegidos. 

 

Aunque requiere que el atacante tenga ciertos permisos dentro del sistema, puede ser aprovechada para realizar ataques de suplantación de identidad a través de una red. Esto podría permitir el acceso no autorizado y la manipulación de archivos sensibles, lo que compromete la integridad del entorno de SharePoint. 

 

Microsoft ha aclarado que estas dos vulnerabilidades afectan únicamente a los servidores de SharePoint utilizados dentro de las organizaciones. SharePoint Online, incluido en Microsoft 365, no se ve afectado. 

 

Para mitigar el problema, Microsoft ha lanzado actualizaciones de seguridad fuera de banda para SharePoint Subscription Edition y SharePoint 2019, que corrigen las vulnerabilidades CVE-2025-53770 y CVE-2025-53771. Sin embargo, por el momento no hay un parche disponible para SharePoint Enterprise Server 2016. Microsoft ha informado que ya está trabajando en una solución para esta versión. 
 

Indicadores de compromiso 

Si encuentra el siguiente archivo C:\PROGRA~1\COMMON~1\MICROS~1\WEBSER ~1\16\TEMPLATE\LAYOUTS\spinstall0.aspx en su explorador de archivos es un indicador de compromiso. 

 

Si al revisar los logs reconoce registros de IIS que muestran una solicitud POST al 15/_layouts/ToolPane.aspx?DisplayMode=Edit&a=/ToolPane.aspx y un referente HTTP de _layouts/SignOut.aspx también se considera un indicador de compromiso. 

 

Microsoft ha compartido la siguiente consulta para Microsoft 365 Defender, diseñada para identificar la posible creación del archivo spinstall0.aspx en el servidor: 

eviceFileEvents 

| where FolderPath has "MICROS~1\\WEBSER~1\\16\\TEMPLATE\\LAYOUTS" 

| where FileName =~ "spinstall0.aspx" 

or FileName has "spinstall0" 

| project Timestamp, DeviceName, InitiatingProcessFileName, InitiatingProcessCommandLine, FileName, FolderPath, ReportId, ActionType, SHA256 

| order by Timestamp desc 

 

 

Versiones Afectadas

Versiones afectadas	Versiones parcheadas
Microsoft SharePoint Server 2019	Actualización KB5002754
Microsoft SharePoint Subscription Edition	Actualización KB5002768
Microsoft SharePoint Enterprise Server 2016	Migrar a otra versión que parche esta vulnerabilidad.

Recomendaciones

• Si cuenta con alguna versión Microsoft Sharepoint de las siguientes: 
  • Actualice Microsoft SharePoint Server 2019 instalando la actualización KB5002754. 
  • Actualice Microsoft SharePoint Subscription Edition instalando la actualización KB5002768. 

• Aplique las últimas actualizaciones de seguridad, incluida la actualización de seguridad de julio de 2025. 

• Asegúrese de que la interfaz de análisis antimalware (AMSI) esté activada y configurada correctamente, con una solución antivirus adecuada, como Defender Antivirus. 

• Implemente Microsoft Defender para protección de puntos de conexión o soluciones contra amenazas equivalentes. 

• Rotar las claves de máquina de SharePoint Server ASP.NET. 

• Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque 

• Auditar herramientas de acceso remoto. (NIST CSF, 2024) 

• Revisar logs para ejecución de software de acceso remoto. (NIST CSF, 2024) 

• Limitar estrictamente el uso de los protocolos SMB y RDP. 

• Realizar auditorías de seguridad. (NIST CSF, 2024) 

• Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)  

• Tener filtros de correo electrónico y spam. 

• Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social. 

• Realizar copias de seguridad, respaldos o back-ups constantemente. 

• Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos. 

• Revisar continuamente los privilegios de los usuarios. 

• Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante). 

• Habilitar la autenticación multifactor. 

Referencias

1. Lakshmanan, R. (2025, Julio 21). Microsoft Releases Urgent Patch for SharePoint RCE Flaw Exploited in Ongoing Cyber Attacks. The Hacker News. Recuperado el 21 de Julio de 2025, en: https://thehackernews.com/2025/07/microsoft-releases-urgent-patch-for.html  
2. Abrams, L. (2025, Julio 21). Microsoft releases emergency patches for SharePoint RCE flaws exploited in attacks. Bleeping Computer. Recuperado el 21 de Julio de 2025, en: https://www.bleepingcomputer.com/news/microsoft/microsoft-releases-emergency-patches-for-sharepoint-rce-flaws-exploited-in-attacks/  
3. Bernardone, L. (2025, Julio 21). ‘Act now’: Hackers exploit Microsoft SharePoint vulnerability. Information Age. Recuperado el 21 de Julio de 2025, en: https://ia.acs.org.au/article/2025/-act-now---hackers-exploit-microsoft-sharepoint-vulnerability.html  
4. Hollingworth, D. (2025, Julio 21). ACSC circulates ‘act now’ alert over critical Microsoft Office SharePoint Server vulnerability. CyberDaily.au. Recuperado el 21 de Julio de 2025, en: https://www.cyberdaily.au/security/12398-acsc-circulates-act-now-alert-over-critical-microsoft-office-sharepoint-server-vulnerability  
5. Alspach, K. (2025, Julio 21). Microsoft SharePoint Server Attacks Are ‘Close-To-Worst-Case Scenario:’ Researcher. CRN. Recuperado el 21 de Julio de 2025, en: https://www.crn.com/news/security/2025/microsoft-sharepoint-server-attacks-are-close-to-worst-case-scenario-researcher  

El nombre es requerido.

El email es requerido.

El email no es válido.

El comentario es requerido.

↻

El captcha es requerido.

Enviar Comentario

Comentarios