Redazione RHC : 22 julio 2025 11:43
Recientemente analizamos una vulnerabilidad crítica de día cero, CVE-2025-53770, en Microsoft SharePoint Server, que evita la falla de seguridad anterior CVE-2025-49706. Ya se sabía entonces que la vulnerabilidad implicaba la deserialización de datos no confiables, lo que permitía la ejecución de código incluso antes de la autenticación. También se informó que los atacantes ya habían explotado esta vulnerabilidad en un ataque dirigido a más de 85 servidores.
Ahora la situación se ha agravado significativamente: el alcance de la campaña maliciosa ha resultado ser mucho mayor de lo esperado. Como se sabe, al menos 100 organizaciones se han visto comprometidas, incluyendo empresas internacionales y agencias gubernamentales. Esto fue informado por representantes de Eye Security, la empresa que descubrió por primera vez los rastros del ataque a uno de sus clientes, y la organización sin fines de lucro Shadowserver Foundation, que realizó un análisis de red a gran escala.
Sus datos indican una amplia cobertura: las víctimas se encuentran principalmente en Estados Unidos y Alemania, pero la geografía es mucho más amplia. El ataque explota una vulnerabilidad de día cero en instalaciones locales de SharePoint Server, lo que permite al atacante inyectar una puerta trasera en la infraestructura e infiltrarse en la red de la víctima. Según Eye Security, tras la penetración, los atacantes roban claves criptográficas, en concreto MachineKey, responsable de la validación y el cifrado, y las utilizan para suplantar el tráfico legítimo. De esta forma, el sistema percibe las solicitudes maliciosas como legítimas y el ataque continúa incluso después de instalar las actualizaciones. Esto invalida las medidas de seguridad estándar.
En su informe, los expertos destacan que el exploit se introduce antes de la autenticación y utiliza scripts maliciosos de PowerShell y archivos ASPX dentro del sistema, que descargan los parámetros necesarios de la memoria. Este enfoque permite a los atacantes moverse rápidamente por la red y ejecutar código arbitrario sin necesidad de repetir los ataques.
Shadowserver estima que hasta 9000 servidores SharePoint expuestos a internet podrían estar en riesgo. Los objetivos potenciales incluyen empresas industriales, bancos, auditores, organizaciones médicas y agencias gubernamentales. Un representante del grupo británico PwnDefend afirmó que la situación requiere no solo la instalación de actualizaciones, sino también una auditoría completa de los sistemas, ya que la propia vulnerabilidad podría indicar un compromiso oculto.
Microsoft confirmó los ataques, anunció el lanzamiento de actualizaciones y solicitó su instalación urgente. Sin embargo, la compañía enfatizó que el uso de soluciones estándar por sí solo no garantiza la eliminación de la amenaza si los atacantes ya han obtenido acceso a datos clave. Como medida temporal, sugiere habilitar la Interfaz de Escaneo Antimalware (AMSI), instalar Microsoft Defender y, como último recurso, aislar los servidores de Internet.
Al mismo tiempo, Eye Security y Palo Alto Networks siguen observando una serie de ataques en los que se utiliza la vulnerabilidad CVE-2025-49706 junto con la vulnerabilidad CVE-2025-49704. La combinación de estos exploits permite ejecutar comandos en el servidor con modificaciones mínimas en la solicitud. Al parecer, simplemente especificar la ruta «_layouts/SignOut.aspx» en el encabezado Referer transforma CVE-2025-49706 en una versión completa de CVE-2025-53770. Esta es la técnica que utilizan actualmente los atacantes en campañas de todo el mundo.
Aún no está claro quién está detrás de los ataques. Sin embargo, Google, con acceso al tráfico global, ha vinculado parte de la actividad a un grupo de hackers que opera en China. Representantes de la Embajada de China, como siempre, no han hecho comentarios sobre estas acusaciones. Al mismo tiempo, el FBI y el Centro Nacional de Ciberseguridad del Reino Unido han confirmado que están monitoreando la situación y colaborando con socios privados y públicos para evaluar su impacto.
La situación actual exige que las organizaciones que usan SharePoint Server no solo realicen actualizaciones urgentes, sino también que reconsideren su estrategia de seguridad. Instalar parches ya no será suficiente: si el sistema ya está comprometido, se requiere una inspección exhaustiva de la infraestructura y, en algunos casos, un aislamiento completo.
RedazioneRecientemente analizamos una vulnerabilidad crítica de día cero, CVE-2025-53770, en Microsoft SharePoint Server, que evita la falla de seguridad anterior CVE-2025-49706. Ya se sabía ent...
Sophos anunció recientemente las correcciones para cinco vulnerabilidades de seguridad independientes encontradas en sus firewalls, algunas críticas y otras de nivel alto y medio. Las vulner...
En el artículo anterior sobre Gestión de Parches, comenzamos a hablar de 4 pilares fundamentales en el mundo de la Ciberseguridad. Estos cuatro pilares son la Gestión de Parches, el End...
«En el bosque oscuro del mundo digital» (como diría hoy Dante Alighieri), la ciberseguridad se ha convertido en una prioridad absoluta para empresas de todos los tamaños. Los ataqu...
Se ha descubierto una falla de seguridad crítica relacionada con la corrupción de memoria en el popular archivador 7-Zip. Esta vulnerabilidad puede ser explotada por atacantes para causar co...
Para más información: [email protected]
