Redazione RHC : 22 julio 2025 11:43
Recientemente analizamos una vulnerabilidad crítica de día cero, CVE-2025-53770, en Microsoft SharePoint Server, que evita la falla de seguridad anterior CVE-2025-49706. Ya se sabía entonces que la vulnerabilidad implicaba la deserialización de datos no confiables, lo que permitía la ejecución de código incluso antes de la autenticación. También se informó que los atacantes ya habían explotado esta vulnerabilidad en un ataque dirigido a más de 85 servidores.
Ahora la situación se ha agravado significativamente: el alcance de la campaña maliciosa ha resultado ser mucho mayor de lo esperado. Como se sabe, al menos 100 organizaciones se han visto comprometidas, incluyendo empresas internacionales y agencias gubernamentales. Esto fue informado por representantes de Eye Security, la empresa que descubrió por primera vez los rastros del ataque a uno de sus clientes, y la organización sin fines de lucro Shadowserver Foundation, que realizó un análisis de red a gran escala.
Sus datos indican una amplia cobertura: las víctimas se encuentran principalmente en Estados Unidos y Alemania, pero la geografía es mucho más amplia. El ataque explota una vulnerabilidad de día cero en instalaciones locales de SharePoint Server, lo que permite al atacante inyectar una puerta trasera en la infraestructura e infiltrarse en la red de la víctima. Según Eye Security, tras la penetración, los atacantes roban claves criptográficas, en concreto MachineKey, responsable de la validación y el cifrado, y las utilizan para suplantar el tráfico legítimo. De esta forma, el sistema percibe las solicitudes maliciosas como legítimas y el ataque continúa incluso después de instalar las actualizaciones. Esto invalida las medidas de seguridad estándar.
En su informe, los expertos destacan que el exploit se introduce antes de la autenticación y utiliza scripts maliciosos de PowerShell y archivos ASPX dentro del sistema, que descargan los parámetros necesarios de la memoria. Este enfoque permite a los atacantes moverse rápidamente por la red y ejecutar código arbitrario sin necesidad de repetir los ataques.
Shadowserver estima que hasta 9000 servidores SharePoint expuestos a internet podrían estar en riesgo. Los objetivos potenciales incluyen empresas industriales, bancos, auditores, organizaciones médicas y agencias gubernamentales. Un representante del grupo británico PwnDefend afirmó que la situación requiere no solo la instalación de actualizaciones, sino también una auditoría completa de los sistemas, ya que la propia vulnerabilidad podría indicar un compromiso oculto.
Microsoft confirmó los ataques, anunció el lanzamiento de actualizaciones y solicitó su instalación urgente. Sin embargo, la compañía enfatizó que el uso de soluciones estándar por sí solo no garantiza la eliminación de la amenaza si los atacantes ya han obtenido acceso a datos clave. Como medida temporal, sugiere habilitar la Interfaz de Escaneo Antimalware (AMSI), instalar Microsoft Defender y, como último recurso, aislar los servidores de Internet.
Al mismo tiempo, Eye Security y Palo Alto Networks siguen observando una serie de ataques en los que se utiliza la vulnerabilidad CVE-2025-49706 junto con la vulnerabilidad CVE-2025-49704. La combinación de estos exploits permite ejecutar comandos en el servidor con modificaciones mínimas en la solicitud. Al parecer, simplemente especificar la ruta «_layouts/SignOut.aspx» en el encabezado Referer transforma CVE-2025-49706 en una versión completa de CVE-2025-53770. Esta es la técnica que utilizan actualmente los atacantes en campañas de todo el mundo.
Aún no está claro quién está detrás de los ataques. Sin embargo, Google, con acceso al tráfico global, ha vinculado parte de la actividad a un grupo de hackers que opera en China. Representantes de la Embajada de China, como siempre, no han hecho comentarios sobre estas acusaciones. Al mismo tiempo, el FBI y el Centro Nacional de Ciberseguridad del Reino Unido han confirmado que están monitoreando la situación y colaborando con socios privados y públicos para evaluar su impacto.
La situación actual exige que las organizaciones que usan SharePoint Server no solo realicen actualizaciones urgentes, sino también que reconsideren su estrategia de seguridad. Instalar parches ya no será suficiente: si el sistema ya está comprometido, se requiere una inspección exhaustiva de la infraestructura y, en algunos casos, un aislamiento completo.
RedazioneEl 20 de septiembre de 2025, un ciberataque afectó a tres de los principales aeropuertos de Europa: Londres-Heathrow, Bruselas y Berlín. Los sistemas digitales que gestionaban la facturación y la g...
Trabajé como ingeniero de sistemas durante varios años y una de mis responsabilidades era administrar Citrix PVS. Uno de los problemas con PVS era el análisis de los archivos de volcado. La única ...
Cloudflare ha anunciado que gestionó de forma independiente un ataque de denegación de servicio distribuido (DDoS) sin precedentes, el más grande jamás visto. El ataque hipervolumétrico alcanzó ...
Los piratas informáticos apuntan cada vez más a las copias de seguridad: no a los sistemas o servidores, sino a los datos que las empresas conservan durante un período de tiempo limitado para poder...
Dos jóvenes involucrados en el grupo Araña Dispersa han sido acusados como parte de la investigación de la Agencia Nacional contra el Crimen sobre un ciberataque a Transport for London (TfL). El 31...
