Se ha descubierto una sofisticada campaña cibernética que dirigida a los servidores de Microsoft SharePoint que explota una cadena de vulnerabilidad recientemente armada denominada “cáscara de herramientas”, lo que permite a los atacantes obtener un control remoto completo sobre los sistemas vulnerables sin autenticación.
La seguridad ocular, una firma de seguridad cibernética holandesa, identificó la explotación activa el 18 de julio de 2025, revelando lo que los investigadores de seguridad describen como una de las transiciones más rápidas de la prueba de concepto a la explotación masiva en la memoria reciente.
Control de llave
1. Una vulnerabilidad crítica de SharePoint (“Toolshell”) está siendo explotada activamente, dando a los atacantes un control de servidor completo y no autenticado.
2. El ataque roba claves del servidor para evitar la seguridad e instalar las puertas traseras persistentes.
3. Parche inmediatamente y escanee para ver el compromiso existente, ya que el parche ya no eliminará a los atacantes dentro.
Desde la investigación hasta el arma en 72 horas
La cadena de vulnerabilidad combina dos defectos de seguridad críticos, CVE-2025-49706 y CVE-2025-49704, demostrado originalmente en PWN2Own Berlin 2025 en mayo por investigadores de seguridad de Code White GMBH, una firma de seguridad ofensiva alemana.
El exploit permaneció inactivo hasta el 15 de julio de 2025, cuando Code White compartió públicamente sus hallazgos detallados en las plataformas de redes sociales después del lanzamiento oficial del parche de Microsoft.
Dentro de solo 72 horas de divulgación pública, los actores de amenaza habían operacionalizado con éxito la exploit para ataques coordinados a gran escala.
Investigación integral de Eye Security reveló Que los atacantes comenzaron la explotación masiva sistemática el 18 de julio de 2025, alrededor de las 18:00, el tiempo de Europa Central, inicialmente utilizando la dirección IP 107.191.58.76.
Una segunda ola distinta de ataques surgió del 104.238.159.149 el 19 de julio de 2025, a las 07:28 CET, lo que indica claramente una campaña internacional bien coordinada.
La explotación de la costa de herramientas omite los mecanismos de autenticación tradicionales al dirigirse a la vulnerable /_layouts/15/toolpane.aspx de SharePoint.
A diferencia de los shells web convencionales diseñados principalmente para la ejecución de comandos, la carga útil maliciosa extrae específicamente claves criptográficas confidenciales de los servidores de SharePoint, incluidos los materiales de validationKey y DecryptionKey.
“Esta no era su típica webshell”, explicó los investigadores de seguridad ocular en su análisis técnico detallado. “El atacante convierte la confianza inherente de SharePoint en su propia configuración en un arma poderosa”.
Una vez que estos secretos criptográficos se obtienen con éxito, los atacantes pueden crear cargas útiles __viewState completamente válidas para lograr una ejecución completa de código remoto sin requerir ninguna credencial de usuario.
El sofisticado ataque aprovecha técnicas similares a CVE-2021-28474, explotando los procesos de deserialización y control de control de SharePoint.
Al obtener la Keykey de validación del servidor, los atacantes pueden firmar digitalmente las cargas útiles maliciosas que SharePoint acepta automáticamente como entrada de confianza legítima, evitando efectivamente todos los controles de seguridad existentes y las medidas defensivas.
El escaneo integral de Eye Security de más de 1,000 servidores de SharePoint desplegados en todo el mundo reveló docenas de sistemas activamente comprometidos en múltiples organizaciones.
La firma de ciberseguridad inició inmediatamente procedimientos de divulgación responsable, contactando directamente a todas las organizaciones afectadas y a los equipos nacionales de respuesta a emergencias informáticas (CERT) en toda Europa e internacionalmente.
Toolshell SharePoint Exploit Statistics y Analysis de impacto
Microsoft ha reconocido oficialmente la amenaza de explotación activa, asignando un nuevo identificador CVE (CVE-2025-53770) para rastrear la variante específica que se usa en ataques en vivo.
Microsoft es consciente de los ataques activos dirigidos a los clientes de SharePoint Server, explotando una variante de CVE-2025-49706. A esta vulnerabilidad se le ha asignado CVE-2025-53770.
Hemos esbozado mitigaciones y detecciones en nuestro blog. Nuestro equipo está trabajando con urgencia para lanzar …
– Respuesta de seguridad (@msftSeCresponse) 20 de julio de 2025
La compañía publicó parches de seguridad integrales para todas las versiones afectadas, incluido SharePoint Server 2016, 2019, y Edición de suscripción, como parte de su ciclo de actualización de seguridad de julio de 2025.
Las organizaciones que ejecutan versiones vulnerables de SharePoint deben aplicar inmediatamente las actualizaciones de seguridad de Microsoft en julio de 2025 sin demora.
Las construcciones afectadas incluyen versiones de SharePoint 2016 antes de las 16.0.5508.1000 (KB5002744), las versiones de SharePoint 2019 antes del 16.0.10417.20027 (KB5002741) y las versiones de edición de suscripción antes del 16.0.18526.20424.
Microsoft afirma explícitamente que no existen soluciones alternativas; Solo el parche completo e inmediato elimina esta vulnerabilidad crítica por completo hoy.
Los indicadores de compromiso de SharePoint “Toolshell” de compromiso (IOC)
IOC TypeIndicAtArDesCrettEIP Dirección107.191.58 (.) 76 Source IP de la primera ola de explotación el 18 de julio de 2025.104.238.159 (.) 149 Source IP de la segunda ola de explotación el 19 de julio de 2025.User-Agentmozilla/5.0 (Windows nt 10.0; Win64; x64; RV: 120.0.0.0.0) Firefox/120.0 User-Agent String utilizada durante la explotación. También se ve en formato codificado por URL para IIS logs.url/PathPost /_Layouts/15/toolpane.aspx?displaymode=edit&a==/toolpane.aspxthe exploit ruta utilizada para activar la vulnerabilidad inicial (cVe-2025-49706) .get /_layouts/15/.aspxrequest para la vulnerabilidad inicial Llaves criptográficas. (Nombre de archivo no revelado). File Hash (SHA256) 4A02A72AEDC3356D8CB38F01F0E0B9F26DDC5CCB7C0F04A5613337CF24AA84030HASH DEL INICIAL WEB SHILL observado.B39C14BECB62ABEB55DF7FD55C814AFBB0D659687D947D917512FE67973100B70 UNO OTRO MALUCTO ASOCIADO ALCE hash.fa3a74a6c015c801f5341c02be2cbdfb301c6ed60633d49fc0bc723617741af7hash de una carga útil específicamente dirigida al __viewstate.
Las organizaciones también deben realizar evaluaciones exhaustivas y integrales de compromiso de inmediato, ya que estos ataques sofisticados permiten un acceso persistente que sobrevive a los parches, los reinicios del sistema y los escaneos de seguridad estándar.
Aumentar la detección, reducir la fatiga de alerta, acelerar la respuesta; Todo con una caja de arena interactiva construida para equipos de seguridad -> Prueba cualquiera.
