Microsoft ha emitido un aviso de seguridad urgente que aborda las vulnerabilidades críticas del día cero en el servidor de SharePoint local que los atacantes están explotando activamente.
Las vulnerabilidades, asignadas como CVE-2025-53770 y CVE-2025-537711, representan riesgos inmediatos para las organizaciones que dirigen la infraestructura de SharePoint y requieren remediación inmediata.
Control de llave
1. Ataques activos de día cero dirigidos a servidores de SharePoint locales a través de CVE-2025-53770 y CVE-2025-53771.
2. Aplicar actualizaciones de seguridad inmediatamente: KB5002768 (edición de suscripción) o KB5002754 (SharePoint 2019).
3. Microsoft Defender se implementa con capacidades de detección de amenazas y caza.
Vulnerabilidades de día cero bajo explotación activa
Las fallas de seguridad se dirigen específicamente a las instalaciones de SharePoint Server en las instalaciones, mientras que SharePoint Online en Microsoft 365 no se ve afectado.
El Centro de Respuesta a Seguridad de Microsoft confirmó que los actores de amenaza están explotando activamente estas vulnerabilidades, que solo se abordaron parcialmente en la actualización de seguridad inicial de julio de 2025.
Las vulnerabilidades permiten a los atacantes lograr una ejecución de código remoto y potencialmente comprometer entornos completos de SharePoint.
Los investigadores de seguridad han identificado que la explotación exitosa da como resultado la creación de archivos maliciosos como SpinStall0.aspx, que sirve como un indicador de compromiso.
Los vectores de ataque involucran técnicas sofisticadas que evitan los controles de seguridad tradicionales, lo que hace que los parches inmediatos críticos para la seguridad organizacional.
CVETITLEAFECTECTED SEVERITYCVE-2025-53770
CVE-2025-53771
El servidor de SharePoint Remote Code Execution VulnerabilitySharePoint Server 2016, 2019, Edición de suscripción Critical
Actualizaciones de seguridad
Microsoft tiene liberado Actualizaciones de seguridad integrales para abordar estas vulnerabilidades. Para la edición de suscripción de SharePoint Server, las organizaciones deben aplicar la actualización de seguridad KB5002768, mientras que SharePoint Server 2019 requiere KB5002754.
Las actualizaciones de SharePoint 2016 todavía están en desarrollo, dejando estos sistemas temporalmente vulnerables.
La compañía recomienda implementar múltiples capas defensivas de inmediato. Las organizaciones deben habilitar la interfaz de escaneo de antimalware (AMSI) en modo completo, lo que proporciona protección crítica contra ataques no autenticados.
Además, la implementación del antivirus del defensor de Microsoft en todos los servidores de SharePoint crea una barrera de seguridad esencial.
Un paso crucial posterior a la parada implica las claves de la máquina ASP.NET de SharePoint Servidor giratorio utilizando el Cmdlet de PowerShell de Update-SpMachineKey o la interfaz de administración central.
Después de la rotación clave, los administradores deben reiniciar IIS usando iISRESET.EXE en todos los servidores de SharePoint para completar el proceso de remediación.
Microsoft ha implementado mecanismos de detección múltiples a través de su ecosistema de seguridad. El antivirus del defensor de Microsoft ahora identifica las amenazas bajo los nombres de detección Explotación: script/susssignoUtreq.a y troyan: win32/hijacksharepointserver.a.
Estas firmas proporcionan protección en tiempo real contra intentos de explotación conocidos.
Microsoft Defender for Endpoint genera alertas específicas, incluida la “posible instalación de shell web”, “comportamiento sospechoso del proceso de trabajadores de IIS” y “Malware SussSignoUtreq se bloqueó en un servidor de SharePoint”.
Los equipos de seguridad pueden aprovechar consultas de caza avanzadas para identificar posibles indicadores de compromiso en todo su entorno.
Las organizaciones pueden utilizar la gestión de vulnerabilidad del defensor de Microsoft para evaluar los niveles de exposición filtrando los identificadores CVE específicos en la sección de vulnerabilidades de software.
La consulta de caza avanzada unificada DevicetVMSoftwareVulnerabilityS | Donde CVEID en (“CVE-2025-49706”, “CVE-2025-53770”) permite un seguimiento integral de vulnerabilidad en entornos empresariales.
Aumentar la detección, reducir la fatiga de alerta, acelerar la respuesta; Todo con una caja de arena interactiva construida para equipos de seguridad -> Prueba cualquiera.
.webp?w=1600&resize=1600,900&ssl=1){kind=link}