CVE-2025-53770 Vulnerabilidad de día cero
Una grave falla de seguridad en Microsoft SharePoint Server se ha convertido en el foco de una campaña de ciberataques a gran escala. Identificada como CVE-2025-53770 con una puntuación CVSS de 9.8, esta vulnerabilidad se clasifica como de día cero y está estrechamente relacionada con CVE-2025-49704 (CVSS 8.8), un error de inyección y ejecución remota de código, corregido durante las actualizaciones del martes de parches de julio de 2025 de Microsoft. La falla se deriva de la deserialización de datos no confiables, lo que permite a los atacantes ejecutar código malicioso de forma remota y sin la debida autorización.
Tabla de contenido
Ataques activos y sistemas afectados
Los investigadores han confirmado que los ciberdelincuentes están explotando activamente esta vulnerabilidad contra instancias locales de SharePoint Server. Cabe destacar que SharePoint Online en Microsoft 365 no se ha visto afectado. Los atacantes aprovechan la forma en que SharePoint gestiona los objetos no confiables durante la deserialización, lo que les permite ejecutar comandos antes de la autenticación del usuario. Una vez dentro del sistema, los atacantes pueden generar cargas útiles falsificadas utilizando claves de equipo robadas, lo que permite el movimiento lateral y el acceso persistente. Esto dificulta la detección y la mitigación, ya que su actividad puede imitar el tráfico legítimo de SharePoint.
Cadenas de exploits complejas
La evidencia sugiere que CVE-2025-53770 se utiliza junto con otras vulnerabilidades, como CVE-2025-49706 (un error de suplantación de identidad con una puntuación CVSS de 6,3) y CVE-2025-49704, para formar una cadena de explotación avanzada conocida como ToolShell. Los atacantes aprovechan CVE-2025-49706 para distribuir cargas útiles de ejecución remota de código que explotan CVE-2025-49704. Añadir '_layouts/SignOut.aspx' como referencia HTTP supuestamente transforma CVE-2025-49706 en CVE-2025-53770, lo que permite un proceso de explotación más ágil.
Los ataques suelen implicar cargas útiles ASPX entregadas mediante PowerShell, con el objetivo de robar la configuración de MachineKey del servidor (ValidationKey y DecryptionKey). Estas claves son cruciales porque permiten a los atacantes crear cargas útiles __VIEWSTATE maliciosas que SharePoint aceptará como válidas, convirtiendo cualquier solicitud autenticada en una oportunidad para la ejecución remota de código.
Escala de compromiso
Hasta la fecha, más de 85 servidores de SharePoint en todo el mundo se han visto comprometidos, afectando al menos a 29 organizaciones, incluyendo corporaciones multinacionales y agencias gubernamentales. Una vez que los atacantes obtienen las claves criptográficas, la remediación se vuelve mucho más compleja. Incluso después de aplicar un parche de seguridad, las claves robadas pueden permitir a los atacantes mantener el acceso a menos que se roten o reconfiguren manualmente.
Medidas de mitigación
Hasta que se dispusiera de una revisión oficial, Microsoft recomendó a las organizaciones habilitar la integración de la Interfaz de Escaneo Antimalware (AMSI) en SharePoint. Para los clientes que no pudieron activar AMSI, se recomendó encarecidamente desconectar los servidores SharePoint vulnerables de internet.
A raíz de los continuos informes de explotación, Microsoft ha lanzado parches tanto para CVE-2025-53770 como para una falla recientemente descubierta, CVE-2025-53771, para proteger los sistemas vulnerables.
Advertencia de CISA
La Agencia de Ciberseguridad y Seguridad de Infraestructura de EE. UU. (CISA) ha emitido una alerta que confirma la explotación activa de CVE-2025-53770. Esta vulnerabilidad permite a los atacantes ejecutar código remoto sin autenticación a través de la red, lo que representa una grave amenaza para cualquier entorno de SharePoint sin parches.
