Miles de organizaciones en todo el mundo enfrentan ataques cibernéticos activos dirigidos a los servidores de Microsoft SharePoint a través de dos vulnerabilidades críticas, lo que provocó advertencias urgentes del gobierno y parches de emergencia.
Microsoft confirmó durante el fin de semana que los actores de amenaza están explotando activamente dos vulnerabilidades de día cero en los servidores de SharePoint locales, designados CVE-2025-53770 y CVE-2025-53771.
Los ataques, denominados “Shellshell” por investigadores de seguridad, han comprometido docenas de organizaciones a nivel mundial desde el 18 de julio, incluidas las agencias federales, universidades y compañías de energía estadounidenses.
La vulnerabilidad principal, CVE-2025-53770, conlleva una puntuación crítica de CVSS de 9.8 y permite la ejecución de código remoto no autenticado a través de la deserialización insegura de datos no confiables.
El defecto complementario, CVE-2025-53771 (CVSS 6.3), permite a los atacantes evitar la autenticación manipulando los encabezados HTTP, elaborando específicamente las solicitudes con encabezados de referentes forjados que apuntan a la página de inicio de sesión de SharePoint.
La Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) agregó CVE-2025-53770 a su conocido catálogo de vulnerabilidades explotadas el 20 de julio, lo que requiere que las agencias federales implementen mitigaciones dentro de las 24 horas
El subdirector ejecutivo interino, Chris Butera, confirmó que CISA fue alertado por un socio de confianza e inmediatamente coordinado con Microsoft.
“Estamos presenciando una amenaza urgente y activa”, advirtió Lotem Finkelstein, director de inteligencia de amenazas en Check Point Research. “Nuestro equipo ha confirmado docenas de intentos de compromiso en los sectores de gobierno, telecomunicaciones y tecnología desde el 7 de julio”.
Los investigadores de seguridad estiman que más de 10,000 servidores de SharePoint en todo el mundo siguen siendo vulnerables, con las concentraciones más altas en los Estados Unidos, los Países Bajos, el Reino Unido y Canadá.
Eye Security, que primero reveló la explotación activa, informó escanear más de 8,000 servidores de SharePoint a nivel mundial y encontrar evidencia de ataques en curso en múltiples ondas.
La cadena de exploits de cellina de herramientas demuestra tácticas sofisticadas, comenzando con solicitudes de publicación especialmente diseñadas al punto final de ToolPane.aspx de SharePoint.
Los atacantes manipulan el encabezado del referente para evitar la autenticación, luego cargan archivos ASPX maliciosos que típicamente se llaman “SpinStall0.aspx” para extraer claves criptográficas críticas del servidor.
Estas validaciones robadas y descifrados de Keeys permiten a los atacantes forjar tokens de autenticación legítimos, manteniendo un acceso persistente incluso después del parche.
La técnica permite a los actores de amenaza ejecutar comandos de PowerShell a través del proceso de trabajadores IIS de SharePoint (w3wp.exe), a menudo ejecutados bajo los privilegios de la autoridad NT \ IUSR.
“La vulnerabilidad rompe fundamentalmente el modelo de seguridad de SharePoint”, explicó los investigadores de Strobes Security. “Una vez explotados, los atacantes pueden robar la configuración criptográfica de la ametralladora criptográfica de SharePoint, otorgando el acceso persistente indefinidamente”.
Parches de emergencia y guía de mitigación
Microsoft publicó actualizaciones de seguridad de emergencia el 21 de julio para SharePoint Server Subscription Edition (KB5002768) y SharePoint Server 2019 (KB5002754), con actualizaciones de lenguaje también disponibles. Sin embargo, SharePoint Server 2016 sigue siendo vulnerable, con Microsoft trabajando para desarrollar parches integrales.
Para mitigar los posibles ataques, los clientes deben:
Use versiones compatibles del servidor de SharePoint local aplique las últimas actualizaciones de seguridad vinculadas anteriormente. Implementar el defensor de Microsoft para la protección del punto final, o las soluciones de amenazas equivalentes, asegurar que la interfaz de escaneo de antimalware (AMSI) esté activado y configurado correctamente, con una solución antivirus apropiada, como el antivirus de defensor, rota las claves de la máquina ASP.NET del servidor SharePoint ASP.NET.
Consulta de caza avanzada de Microsoft Defender Unified Unified
DeviceTVMSoftwareVulnerabilidades
| donde cveid en (“CVE-2025-49706”, “CVE-2025-53770”)
Para verificar la explotación exitosa a través de la creación de archivos
Dispositivo de dispositivos
| donde la carpeta ha_any ( @’Microsoft Shared \ Web Server Extensions \ 16 \ Template \ Leauts’, @’Microsoft Shared \ Web Server Extensions \ 15 \ Template \ Leauts’)
| donde el nombre de archivo tiene “spinstall0”
| Project Timestamp, DeviceName, IniciatingProcessFileName, IniciatingProcessCommandline, FileName, FolderPath, ReportID, ActionType, SHA256
| Orden de Timestamp Desc
Para verificar la creación de procesos
Proventos de dispositivos
| Donde iniciar ProcessFileName tiene “w3wp.exe”
¡e iniciando ProcessCommandline! Tiene “defaultApppool”
y nombre de archivo = ~ “cmd.exe”
y ProcessCommandline Has_all (“cmd.exe”, “PowerShell”)
y ProcessCommandline has_any (“EncodedCommand”, “-EC”)
| Extender CommandarGuments = Split (ProcessCommandline, “”)
| MV-Expand CommandoArGuments a typeof (string)
| Donde CommandarGuments coincide con Regex “^(A-ZA-Z0-9+/=) {15,} $”
| Extender b64Decode = reemplazar (“\\ x00”, “”, base64_DecodeString (toString (comandarguments)))
| donde b64decode has_any (“spinstall0”, @’c: \ programa ~ 1 \ común ~ 1 \ micros ~ 1 \ webser ~ 1 \ 15 \ plantlate \ liseuts’, @’c: \ programa ~ 1 \ common ~ 1 \ micros ~ 1 \ webser ~ 1 \ 16 \ 16 \ TEMPLATE \ LEGEOUTS’)
La rápida progresión de la demostración de prueba de concepto hasta la explotación de masa que ocurre en solo 72 horas resalta el panorama de amenazas en evolución, donde las vulnerabilidades de día cero se pueden armarse casi al instante. Se insta a las organizaciones a tratar esto como un incidente de prioridad de emergencia que requiere acciones inmediatas para evitar compromisos.
Aumentar la detección, reducir la fatiga de alerta, acelerar la respuesta; Todo con una caja de arena interactiva construida para equipos de seguridad -> Prueba cualquiera.
