Una nueva amenaza crítica dirigida a los servidores de Microsoft SharePoint a través de una sofisticada cadena de exploit denomina “Shellshell”.
Este ataque de varias etapas combina vulnerabilidades previamente parcheadas con exploits frescos de día cero para lograr un compromiso completo del sistema, afectando a SharePoint Enterprise Server 2016, SharePoint Server 2019 y la edición de suscripción de SharePoint Server.
Control de llave
1. Toolshell explota cuatro CVE de SharePoint (dos parcheados, dos días cero) para el control completo del sistema
2. Implementa shells web avanzados para la ejecución de comandos remotos y el robo de clave criptográfica
3. Parche inmediatamente e implementa sistemas de detección para bloquear los ataques activos
La cadena de vulnerabilidad se dirige a la infraestructura de SharePoint
La campaña Toolshell aprovecha una combinación peligrosa de cuatro CVE para establecer capacidades de ejecución de código remoto.
Los actores de amenaza están explotando dos vulnerabilidades previamente parcheadas (CVE-2025-49704 y CVE-2025-49706) junto con dos variantes de día cero recién descubiertos (CVE-2025-53770 y CVE-2025-53771).
La Agencia de Seguridad de Ciberseguridad e Infraestructura (CISA) ya ha agregado estos CVE a su conocido catálogo de vulnerabilidades explotadas, destacando la gravedad de esta amenaza.
El reconocimiento inicial involucra a los atacantes que usan comandos simples de curl y PowerShell para investigar los sistemas de destino y extraer información del sistema.
El ataque generalmente comienza con la explotación del punto final “spinstall0.aspx”, lo que permite a los atacantes cargar datos de configuración en servidores remotos.
Esta fase de sondeo permite a los actores de amenaza a huellas digitales de entornos objetivo antes de implementar cargas útiles más sofisticadas.
La campaña implementa dos componentes maliciosos principales: Ghostwebshell y Keysiphon. GhostWebshell representa una shell web ASP.NET altamente sofisticada diseñada para un acceso remoto persistente.
Incorpora una página ASP.NET codificada de Base64 que expone un parámetro “? Cmd =”, lo que permite a los atacantes ejecutar comandos del sistema arbitrarios a través de la sintaxis “CMD.EXE /C”.
El shell web emplea técnicas de evasión avanzada, manipulando temporalmente las banderas internos de construcción interna utilizando la reflexión para evitar las verificaciones de precompilación.
Registra un VirtualPathProvider personalizado para la operación sin fila, inyectando páginas maliciosas de la memoria en rutas legítimas de SharePoint como “/_layouts/15/ghostfile.aspx”.
Después de la ejecución del comando, el shell restaura las banderas de buildManager originales para minimizar las huellas de detección.
Keysiphon sirve como una herramienta de reconocimiento que captura la inteligencia integral del sistema. Recopila información crítica que incluye configuraciones de unidad lógica, especificaciones de la máquina, recuentos de núcleo de CPU, tiempo de actividad del sistema y detalles del sistema operativo.
Recopilar información del sistema
La mayoría de los preocupantes, Keysiphon extrae la validación de la aplicación y las claves de descifrado a través del espacio de nombres “System.web”, invocando específicamente “KachineKeySection.getApplicationConfig ()” para exponer secretos criptográficos que habilitan la fase del token de autenticación y la manipulación del Estado View.
Las organizaciones deben aplicar inmediatamente parches disponibles e implementar estrategias de detección en capas que combinen monitoreo de la red, protección de punto final y análisis de registro integral.
Dada la rápida arma de estas vulnerabilidades, los equipos de seguridad deben priorizar el endurecimiento de la infraestructura de SharePoint y considerar implementar controles de acceso adicionales para mitigar posibles intentos de compromiso.
COI
IP
157 (.) 245 (.) 126 (.) 186
159 (.) 203 (.) 88 (.) 182
146 (.) 190 (.) 224 (.) 250
203 (.) 160 (.) 80 (.) 77
203 (.) 160 (.) 86 (.) 111
205 (.) 198 (.) 84 (.) 197
159 (.) 89 (.) 10 (.) 213
165 (.) 232 (.) 162 (.) 99
185 (.) 169 (.) 0 (.) 111
146 (.) 70 (.) 41 (.) 178
165 (.) 154 (.) 196 (.) 91 archivo
10E01CE96889C7B4366CFA1E7D99759E4E2B6E5DE378087D9E836B7278ABFB66
7E3FFF35EF909C556BDFFF9A63F0403718BF09FECF4E03037238176E86CF4E98
0548FAD567C22CCF19031671F7EC1F53B73ABF93DC11245BC9EA4DF463FE40
3adbebc2093615bb9210bfdb8ebb0841c62426bee88820f86ff0a64d15206041
Experimenta una detección de phishing más rápida y precisa y una protección mejorada para su negocio con análisis de sandbox en tiempo real-> Prueba cualquiera.
