Microsoft ha confirmado que los actores de amenazas patrocinados por el estado chino están explotando activamente las vulnerabilidades críticas de día cero en los servidores de SharePoint locales, lo que provoca advertencias de seguridad urgentes para las organizaciones de todo el mundo.
El Centro de Respuesta de Seguridad del gigante tecnológico informó ataques coordinados que dirigen a las instalaciones de SharePoint orientadas a Internet utilizando vulnerabilidades recientemente reveladas que permiten el omisión de autenticación y la ejecución de código remoto.
Control de llave
1. CVE-2025-53770/53771 en SharePoint en las instalaciones habilita el bypass de autenticación y RCE.
2. Los ataques son impulsados por grupos chinos patrocinados por el estado.
3. Instale los parches de Microsoft (KB5002768/2754/2760).
SharePoint El día cero explotado en ataques activos
La campaña de explotación se centra en CVE-2025-53770, una vulnerabilidad integral que combina el derivación de la autenticación y las capacidades de ejecución de código remoto, junto con CVE-2025-53771, que aborda los problemas de derivación de seguridad relacionados con el CVE-2025-49706 previamente divulgado.
Estas vulnerabilidades se dirigen específicamente a las instalaciones de SharePoint Server de SharePoint, incluidas SharePoint Server 2016, 2019, y la edición de suscripción de SharePoint, mientras que SharePoint Online en Microsoft 365 no se ve afectado.
Los investigadores de seguridad de Microsoft han observado a los actores de amenazas que realizan reconocimiento a través de solicitudes de publicación diseñadas al punto final de pánga de herramientas, seguido de una implementación exitosa de capas web maliciosas llamadas spinstall0.aspx y variantes como spinstall.aspx, spinstall1.aspx y spinstall2.aspx.
Los atacantes utilizan estos shells web para extraer datos críticos ASP.NET MachineKey, lo que permite el acceso persistente a sistemas comprometidos y un posible movimiento lateral dentro de las redes objetivo.
Se han identificado tres grupos de amenaza chinos distintos como explotadores principales de estas vulnerabilidades. Linen Typhoon, activo desde 2012, se ha centrado en el robo de propiedad intelectual dirigida a las organizaciones del gobierno, la defensa y los derechos humanos.
Violet Typhoon, operativo desde 2015, se especializa en espionaje contra el ex personal gubernamental, las ONG e instituciones educativas en los Estados Unidos, Europa y Asia Oriental.
Además, Microsoft rastrea Storm-2603, un actor con sede en China con una evaluación de confianza media, destacada por la implementación de Warlock y Lockbit Ransomware en campañas anteriores.
Los intentos de explotación comenzaron tan pronto como el 7 de julio de 2025, con actores de amenazas aprovechando estas vulnerabilidades para el acceso inicial antes de desplegar cargas útiles basadas en PowerShell y establecer mecanismos de persistencia.
Cvetitlecvss 3.1 ScoreSeverityCVE-2025-53770Sharepoint Toolshell Auth Bypass y RCE9.8CriticalCve-2025-53771 Sharepoint Hoolshell Path Traversal6.5 Medium
Mitigaciones
Microsoft ha lanzado actualizaciones de seguridad críticas para todas las versiones compatibles de SharePoint, incluidas KB5002768 para la edición de suscripción de SharePoint Server, KB5002754 y KB5002753 para SharePoint 2019 y KB5002760 y KB5002759 para SharePoint 2016.
Las organizaciones deben aplicar inmediatamente estos parches al implementar medidas de protección adicionales.
Los pasos de mitigación esenciales incluyen habilitar la interfaz de escaneo de antimalware (AMSI) en modo completo, la implementación del antivirus de defensor de Microsoft en todos los servidores de SharePoint y las claves de la máquina ASP.NET giratoria seguidas de los servicios de información de Internet (IIS).
Microsoft fuertemente recomendado Implementación del defensor de Microsoft para el punto final o soluciones equivalentes para detectar actividades posteriores a la explotación y considerar la desconexión temporal del acceso a Internet para sistemas sin parpadear hasta que se puedan aplicar actualizaciones de seguridad.
Aumentar la detección, reducir la fatiga de alerta, acelerar la respuesta; Todo con una caja de arena interactiva construida para equipos de seguridad -> Prueba cualquiera.
