Una vulnerabilidad crítica de día cero en los servidores de Microsoft SharePoint se ha convertido en un patio de recreo para los actores de amenazas en todo el espectro cibercriminal, con ataques que van desde piratas informáticos oportunistas hasta grupos de estado-nación sofisticados desde mediados de julio de 2025.
El 19 de julio de 2025, Microsoft confirmó que las vulnerabilidades colectivamente conocidas como “cáscara de herramientas” estaban siendo explotadas activamente en la naturaleza. La cadena de exploit comprende CVE-2025-53770, una vulnerabilidad de ejecución de código remoto con una puntuación CVSS de 9.8 y CVE-2025-53771, una vulnerabilidad de falsedad del servidor.
Estos ataques se dirigen específicamente a los servidores de SharePoint de SharePoint en la edición de suscripción de SharePoint, SharePoint 2019 o SharePoint 2016, mientras que SharePoint Online en Microsoft 365 no se ve afectado.
La vulnerabilidad permite a los atacantes omitir la autenticación multifactor y las protecciones de inicio de sesión único, proporcionando acceso no autorizado a los sistemas de SharePoint y habilitando la ejecución de código arbitrario a través de la red.
Lo que hace que esto sea particularmente peligroso es la integración de SharePoint con otros servicios de Microsoft, incluidos oficinas, equipos, OneDrive y Outlook, que potencialmente otorgan a los atacantes un amplio acceso a través de redes comprometidas.
SharePoint de vulnerabilidad de 0 días explotada
Desde que comenzó la explotación el 17 de julio de 2025, los investigadores de seguridad han observado una sorprendente diversidad de atacantes que aprovechan estas vulnerabilidades.
El panorama de amenazas incluye ciberdelincuentes motivados financieramente y grupos de espionaje patrocinados por el estado, creando un “buffet todo lo que puedas comer” para actores maliciosos.
Infección demográfica
Microsoft ha identificado específicamente a tres grupos de amenazas alineados en China que explotan las vulnerabilidades: tifón de lino, tifón Violet y Storm-2603. Charles Carmakal de la unidad mandante de Google Cloud confirmó que “al menos uno de los actores responsables de esta explotación temprana es un actor de amenaza de China-Nexus”.
Lo más preocupante es la participación de Luckymouse (APT27), un sofisticado grupo cibernético chino que se dirige principalmente a gobiernos, compañías de telecomunicaciones y organizaciones internacionales.
Investigadores de ESET detectado Una puerta trasera asociada a Luckymouse en una máquina vietnamita comprometida a través de herramientas, aunque no está claro si esto representa una nueva infección o compromiso preexistente.
Además de la complejidad de la amenaza, Microsoft informó que Storm-2603 ha comenzado a implementar ransomware de brujo utilizando estas vulnerabilidades, marcando una evolución del espionaje puro a las operaciones de ransomware.
Los ataques han demostrado un alcance geográfico significativo, con Estados Unidos representando el 13.3% de los ataques de acuerdo con los datos de telemetría ESET.
La firma de seguridad Eye Security ha identificado más de 400 sistemas de SharePoint comprometidos en múltiples ondas de ataque, con víctimas que incluyen agencias federales, universidades y compañías de energía estadounidenses.
La técnica de explotación implica la implementación de webshells maliciosas, particularmente “spinstall0.aspx”, para extraer secretos criptográficos de los servidores de SharePoint.
Luego, los atacantes usan estas claves de validación y descifrado robadas para generar tokens de autenticación válidos, permitiendo un acceso persistente incluso después de que las vulnerabilidades iniciales estén parcheadas.
Microsoft ha publicado actualizaciones de seguridad de emergencia para todas las versiones de SharePoint afectadas al 22 de julio de 2025. Sin embargo, los expertos advierten que el parche solo es insuficiente: las organizaciones también deben rotar las claves de la máquina ASP.NET y reiniciar los servicios de IIS para desalentar a los atacantes.
La Agencia de Seguridad de Ciberseguridad e Infraestructura de EE. UU. Ha agregado CVE-2025-53770 a su conocido catálogo de vulnerabilidades explotadas, lo que requiere que las agencias federales apliquen parches de inmediato.
Dado el atractivo de la vulnerabilidad a los diversos actores de amenazas, los expertos en seguridad predicen los continuos intentos de explotación contra los sistemas no parpados en los próximos meses.
Se recomienda encarecidamente a las organizaciones que ejecutan los servidores de SharePoint en las instalaciones que asuman un compromiso e implementen procedimientos integrales de respuesta a incidentes más allá del parche simple.
Indicadores de archivo de compromiso (IOC)
Sha-1FilenamedETETECTIONDESCRIPTIVEF5B60A8EAD96703080E73A1F79C3E70FF44DF271SPINSTALL0.ASPXMSIL/WEBSHELL.JSWEBSHEL
Indicadores de red de compromiso (COI)
Dirección IP DomainHosting Provider First Seendetails96.9.125 (.) 147N/ABL Networks2025-07-17IP Dirección de explotación de vulnerabilidades de SharePoint.107.191.58 (.) 76N/AThe Constant Company, LLC2025-07-07-07-07-18 La dirección de Sharepoin vulnerabilidades.104.238.159 (.) 149N/ATE CONSTANT COMPANY, LLC2025-07-19IP Dirección de explotación de vulnerabilidades de SharePoint.139.59.11 (.) 66N/AdigitalOtean, LLC2025-07-07-21IP DIRECCIÓN DEPLACIÓN Vulnerabilidad de Sharepoint.154.223.19 () 106 NEUT CLUZ Limited2025-07-21IP Dirección de explotación de vulnerabilidades de SharePoint.103.151.172 (.) 92N/AIKUUU LTD2025-07-21 ¿Dirección de explotación de vulnerabilidades de SharePoint. vulnerabilidades.83.136.182 (.) 237n/Aalina Gatsaniuk2025-07-21IP Dirección de explotación de vulnerabilidades de SharePoint.162.248.74 (.) 92n/axtom GmbH2025-07-2007-21IP DIRECCIÓN DEPLACIÓN Limited2025-07-21IP Dirección de explotación de vulnerabilidades de SharePoint.206.166.251 (.) 228N/ABL Networks2025-07-21IP Dirección de explotación de vulnerabilidades de SharePoint.45.77.155 (.) 170N/Avultr Holdings, LLC2025-07-21 Dirección de exposición de la dirección de Sharepoint de expansión de Sharepoint de Sharepoint. vulnerabilidades.64.176.50 (.) 109N/AThe Constant Company, LLC2025-07-21IP Dirección de explotación de vulnerabilidades de SharePoint.149.28.17 (.) 188n/AThe Constant Company, LLC2025-07-07-22IP DIRECCIÓN POR LA VILLERACIONES DE ACTUAL. Ltd2025-07-22IP Dirección de explotación de vulnerabilidades de SharePoint.109.105.193 (.) 76n/Aharuka Network Limited2025-07-22IP Dirección de explotación de vulnerabilidades de SharePoint.56.190 (.) 139N/Aalina Gatsaniuk2025-07-22IP Dirección que expotra a Sharepoint de Sharepoint vulnerabilidades.141.164.60 (.) 10n/Athe Constant Company, LLC2025-07-22IP Dirección de explotación de vulnerabilidades de SharePoint.124.56.42 (.) 75N/AIP Manager2025-07-22PIT Dirección de explotación de vulnerabilidades de SharePoint.
Experimenta una detección de phishing más rápida y precisa y una protección mejorada para su negocio con análisis de sandbox en tiempo real-> Prueba cualquiera.
