CISA ha emitido una advertencia urgente sobre una vulnerabilidad crítica de ejecución de código remoto de día cero que afecta a las instalaciones locales de Microsoft SharePoint Server que los actores de amenaza están explotando activamente en la naturaleza.
La vulnerabilidad, rastreada como CVE-2025-53770, plantea un riesgo de seguridad significativo para las organizaciones que dirigen la infraestructura de SharePoint y ha provocado requisitos de acción inmediata de las agencias federales, así como las recomendaciones para todas las organizaciones afectadas.
Control de llave
1. CVE-2025-53770 permite la ejecución del código remoto en los servidores de SharePoint y se explota activamente en la naturaleza.
2. CISA requiere remediación antes del 21 de julio de 2025.
3. Habilite AMSI/Defensor AV en servidores de SharePoint o desconecte los sistemas de orientación pública.
Vulnerabilidad de 0 días de Microsoft SharePoint Server de 0 días
La vulnerabilidad recientemente descubierta, CVE-2025-53770, se deriva de una deserialización de la falla de datos no confiable en los entornos locales de Microsoft SharePoint Server.
Esta debilidad de seguridad crítica se clasifica bajo la enumeración de debilidad común CWE-502, que aborda específicamente la práctica peligrosa de deserializar los datos no confiables sin la validación adecuada.
La vulnerabilidad permite a los atacantes no autorizados ejecutar el código arbitrario de forma remota a través de una conexión de red, lo que hace que sea particularmente peligroso para las organizaciones con implementaciones de SharePoint orientadas a Internet.
La vulnerabilidad de deserialización del servidor de Microsoft SharePoint representa un defecto de seguridad fundamental donde la aplicación maneja incorrectamente objetos de datos serializados, lo que potencialmente permite a los actores maliciosos elaborar cargas útiles específicas que activen la ejecución del código cuando el sistema vulnerable procesa.
Este tipo de vulnerabilidad es especialmente preocupante porque puede explotarse de forma remota sin requerir autenticación, dependiendo de la configuración y exposición específicas del servidor de SharePoint.
CISA agregó CVE-2025-53770 a su catálogo de vulnerabilidades explotados conocidos el 20 de julio de 2025, con una fecha límite de remediación extremadamente ajustada del 21 de julio de 2025, lo que indica la gravedad y la explotación activa de esta vulnerabilidad.
Si bien se desconoce si esta vulnerabilidad se está aprovechando en campañas de ransomware, la línea de tiempo rápida para la remediación sugiere que CISA ha observado una actividad de amenaza creíble dirigida a esta falla específica.
La naturaleza del día cero de esta vulnerabilidad significa que los atacantes tenían acceso para explotar este defecto antes de que estuvieran disponibles parches de seguridad o mitigaciones integrales, lo que le daba a los actores maliciosos una ventaja significativa.
Las organizaciones con servidores de SharePoint de orientación pública tienen el mayor riesgo, ya que estos sistemas pueden dirigirse directamente desde Internet sin requerir el compromiso de la red inicial.
Factores de riesgo Los productos afectados por DetEaLSefectedMicrosoft SharePoint Server Subscription Edition (en las instalaciones) Microsoft SharePoint Server 2019 (en las instalaciones) Microsoft SharePoint Server 2016 (en las instalaciones) ImpacTremote ExecutionExPloPLoit PrequisitedNetwork Acceptability a un punto final vulnerable de SharePoint; No son necesarias las credenciales de usuario válidas.
En respuesta a la explotación activa, CISA ha emitido una orientación de mitigación específica que requiere que las organizaciones configuren la integración de la interfaz de escaneo anti-malware (AMSI) dentro de los entornos de SharePoint e implementen antivirus de defensor de Microsoft en todos los servidores de SharePoint.
Para las organizaciones que no pueden implementar la integración de AMSI, CISA recomendado La medida más drástica de la desconexión inmediatamente desconectada de los productos de SharePoint afectados del público del acceso a Internet hasta que estén disponibles las mitigaciones oficiales.
Las agencias federales deben cumplir con la directiva operativa vinculante BOD 22-01 para la orientación para los servicios en la nube, mientras que las organizaciones no pueden implementar mitigaciones adecuadas deben considerar la interrupción del uso de los productos afectados hasta que se publiquen actualizaciones de seguridad integrales.
Aumentar la detección, reducir la fatiga de alerta, acelerar la respuesta; Todo con una caja de arena interactiva construida para equipos de seguridad -> Prueba cualquiera.
