Los investigadores han desarrollado un nuevo módulo de Exploit MetaSploit dirigido a vulnerabilidades críticas de día cero en Microsoft SharePoint Server que se están explotando activamente en la naturaleza.
El módulo, designado como solicitud de extracción #20409 en el repositorio del marco de MetaSploit, aborda CVE-2025-53770 y CVE-2025-53771, que permiten ataques de ejecución de código remoto (RCE) no autorizados contra instalaciones de puntos de venta vulnerables.
Control de llave
1. Vulnerabilidades de SharePoint (CVE-2025-53770/53771) explotadas en la naturaleza a través de una sola solicitud HTTP.
2. RCE no autenticado en SharePoint 2019 con privilegios del sistema.
3. Implementaciones seguras de SharePoint inmediatamente: no hay parches disponibles.
Módulo MetaSploit para SharePoint 0-Día
Las vulnerabilidades recientemente identificadas representan derivaciones sofisticadas de parche para defectos de seguridad previamente revelados CVE-2025-49704 y CVE-2025-49706.
Rapid7 confirmó que la exploit se observó por primera vez en ataques activos alrededor del 19 de julio de 2025, utilizando una sola solicitud HTTP para comprometer los servidores de SharePoint.
El Exploit se dirige específicamente a /_layouts/15/toolpane.aspx endpoint, aprovechando una vulnerabilidad de deserialización para lograr la ejecución del código con privilegios del sistema.
El vector de ataque demuestra una simplicidad notable, que requiere solo una solicitud HTTP maliciosa que contiene una carga útil de deserialización de .NET especialmente elaborada.
Durante las pruebas, el módulo comprometió correctamente un sistema de Windows Server 2022 que ejecuta SharePoint Server 2019 versión 16.0.10417.20027, estableciendo una sesión meterpreter dentro del directorio C: \ Windows \ System32 \ INETSRV.
El módulo MetaSploit Exploit/Windows/Http/SharePoint_Toolpane_RCE admite múltiples configuraciones de carga útil, incluidas CMD/Windows/Http/x64/meterpreter_reverse_tcp para sesiones interactivas completas y CMD/Windows/Generic para la ejecución de comandos.
El Exploit utiliza las rutinas de MSF :: Util :: DotNetDeserialization para construir cargas útiles maliciosas, reemplazando la cadena de dispositivos codificada original de Base64 descubierta en ataques salvajes.
Las opciones actuales del módulo incluyen hosts de destino configurables (RHOSTS), puertos (RPORT), negociación SSL y soporte proxy a través de varios protocolos, incluidos SOCKS4, SOCKS5 y HTTP.
El mecanismo de entrega de la carga útil admite múltiples comandos de recuperación, incluidos Certutil, CURL y TFTP, con capacidades de limpieza automática para eliminar artefactos después de la ejecución.
Mitigaciones
La vulnerabilidad afecta a las instalaciones del servidor de Microsoft SharePoint, particularmente aquellas que ejecutan la versión 2019.
Los intentos de parche inicial a través de KB5002741 implementaron verificaciones de validación de ruta para los puntos finales de Toolpane.aspx, pero el nuevo exploit omite con éxito estas protecciones.
Las pruebas revelaron que algunas configuraciones de SharePoint con requisitos de autenticación pueden necesitar ajustes de punto final del error.aspx para iniciar.aspx para una verificación de explotación exitosa.
Las organizaciones deben revisar inmediatamente sus implementaciones de SharePoint para indicadores de compromiso e implementar protecciones a nivel de red mientras esperan parches oficiales de Microsoft.
La explotación activa de estas vulnerabilidades, combinada con su naturaleza no autenticada, presenta riesgos significativos para los entornos empresariales que ejecutan versiones afectadas de SharePoint.
Aumentar la detección, reducir la fatiga de alerta, acelerar la respuesta; Todo con una caja de arena interactiva construida para equipos de seguridad -> Prueba cualquiera.
