Los exploits de SharePoint están en marcha: empresas y organizaciones en la mira

Redazione RHC : 26 julio 2025 10:13

El panorama de amenazas nunca duerme, pero esta vez despertó con fuerza. El 18 de julio de 2025, la empresa de seguridad Eye Security emitió una advertencia que resonó de inmediato en todo el mundo cibernético: se estaba llevando a cabo una campaña masiva de explotación contra servidores locales de SharePoint, utilizando una nueva cadena de vulnerabilidades denominada ToolShell, basada en dos CVE recién catalogados: CVE-2025-53770 y CVE-2025-53771.

El ataque es todo menos teórico: ya ha afectado a universidades, empresas energéticas, miles de pequeñas y medianas empresas y, según el Washington Post, al menos dos agencias federales estadounidenses. Se trata de una cadena de Ejecución Remota de Código (RCE) no autenticada que explota versiones expuestas públicamente de SharePoint y, lo que es más grave, es capaz de eludir parches anteriores relacionados con los exploits demostrados en Pwn2Own Berlín 2025.

No se trata de una simple elusión: es una segunda ola

Los dos nuevos CVE son, en realidad, evoluciones mutadas de una cadena de exploits anterior: CVE-2025-49704 y CVE-2025-49706. En ese caso, el exploit se originó a partir de una omisión de autenticación y provocó la ejecución remota de código. Microsoft respondió con un parche… pero resultó ser solo una curita en una herida aún supurante.

CVE-2025-53770 reintroduce la falla de deserialización que permite la ejecución remota de código (RCE), mientras que CVE-2025-53771 restaura la autenticación omitida. En esencia, ToolShell es una versión mejorada del antiguo ataque, con una nueva capa de pintura y mayor efectividad.

Para colmo, existen bastantes instalaciones vulnerables. Shodan tiene más de 16 000 expuestas públicamente, principalmente en Estados Unidos, seguido de Irán, Malasia, Países Bajos e Irlanda. Y muchos servidores, como suele ocurrir, siguen exponiendo detalles de la versión en los encabezados HTTP, lo que proporciona a los atacantes justo lo que necesitan para atacar con precisión.

¿Qué obtiene un atacante?

Una vez comprometido, ToolShell permite la extracción de claves de cifrado de SharePoint (ValidationKey y DecryptionKey), lo que permite el acceso persistente al sistema incluso después de la aplicación de parches. Por si fuera poco, la naturaleza centralizada de SharePoint, a menudo integrada con Outlook, Teams, OneDrive y Active Directory, facilita la exfiltración de datos a gran escala y la vulneración de infraestructuras de colaboración corporativas completas.

Se trata de un ataque silencioso y profundo, como la mordedura de una serpiente venenosa: tras la RCE inicial, se instalan shells web persistentes, se recopilan credenciales y, si es posible, se realiza la lateralización dentro de la red.

¿Qué indica el análisis técnico?

Según el informe del entorno aislado asociado a la muestra [SHA256: 1116231836ce7c8c64dd86027b458c3bf0ef176022beadfa01ba29591990aee6], el exploit ejecuta un archivo ASP (“spinstall0.asp”) que es responsable de bloquear el webshell. El comportamiento observado incluye la enumeración de dispositivos de almacenamiento físico y la invocación de comandos mediante cmd.exe, lo que confirma las capacidades de persistencia y reconocimiento.

El informe MITRE ATT&CK vincula la cadena de ataque con hasta 14 tácticas, incluyendo acceso inicial, ejecución, escalada de privilegios, acceso a credenciales y comando y control, una verdadera sinfonía de intrusión avanzada.

La (ahora evidente) ventaja de la nube

Mientras que SharePoint local se está convirtiendo en un objetivo predilecto de los actores de amenazas, la versión en la nube SharePoint Online se mantiene inmune. La razón es clara: parches centralizados, búsqueda automática de amenazas, monitoreo continuo y menor exposición. La diferencia entre la seguridad local y SaaS nunca ha sido tan clara.

Como si dijera: quienes eligieron la nube se aprovecharon de la tormenta.

Microsoft y el futuro registrado: Carrera hacia la contramedida

Microsoft lanzó actualizaciones de emergencia el martes de parches de julio y publicó recomendaciones específicas: aplicar parches (si están disponibles), habilitar AMSI, usar Defender y, fundamentalmente, rotar claves ASP.NET para romper la persistencia posterior a la explotación. Sin embargo, SharePoint Server 2016 sigue sin un parche oficial al momento de escribir este artículo. Una pesadilla para quienes no pueden migrar.

Paralelamente, Recorded Future ha creado un núcleo de plantillas para detectar CVE-2025-53770, útil para la búsqueda automatizada de amenazas. La plantilla aprovecha un endpoint /vti_pvt/service.cnf y analiza la compilación de SharePoint expuesta para detectar versiones vulnerables.

Otro elemento crítico es que ya existe una prueba de concepto publicada en GitHub, lo que sin duda ha acelerado la adopción de la explotación por parte de actores maliciosos.

Consideraciones finales

El caso de ToolShell expone (una vez más) el retraso estructural en la gestión de sistemas locales, especialmente en empresas y administraciones públicas con infraestructuras heredadas, donde la aplicación de parches no es rápida ni consistente. Pero va aún más allá: nos pone en evidencia la dura realidad de la gestión superficial de la exposición y la visibilidad interna.

Quienes gestionan infraestructuras de SharePoint expuestas deben actuar de inmediato: aplicar parches donde sea posible, aislar los sistemas vulnerables, supervisar los registros, buscar webshells y, sobre todo, revisar estratégicamente sus opciones de infraestructura. Es hora de dejar de tratar la seguridad como una lista de verificación y empezar a considerarla un proceso vivo, continuo y, si es necesario, doloroso.

Quienes se quedan parados ahora mismo… ya están retrocediendo.

Redazione
Red Hot Cyber's editorial team consists of a collection of individuals and anonymous sources who actively collaborate by providing advance information and news on cyber security and IT in general.

Lista degli articoli