Red Hot Cyber

La ciberseguridad se comparte. Reconozca el riesgo, combátalo, comparta sus experiencias y anime a otros a hacerlo mejor que usted.
Buscar
Red Hot Cyber Academy

Nueva ola de ataques a Microsoft SharePoint Server se cobra víctimas: más de 100 organizaciones afectadas

Redazione RHC : 22 julio 2025 11:43

Recientemente analizamos una vulnerabilidad crítica de día cero, CVE-2025-53770, en Microsoft SharePoint Server, que evita la falla de seguridad anterior CVE-2025-49706. Ya se sabía entonces que la vulnerabilidad implicaba la deserialización de datos no confiables, lo que permitía la ejecución de código incluso antes de la autenticación. También se informó que los atacantes ya habían explotado esta vulnerabilidad en un ataque dirigido a más de 85 servidores.

Ahora la situación se ha agravado significativamente: el alcance de la campaña maliciosa ha resultado ser mucho mayor de lo esperado. Como se sabe, al menos 100 organizaciones se han visto comprometidas, incluyendo empresas internacionales y agencias gubernamentales. Esto fue informado por representantes de Eye Security, la empresa que descubrió por primera vez los rastros del ataque a uno de sus clientes, y la organización sin fines de lucro Shadowserver Foundation, que realizó un análisis de red a gran escala.

Sus datos indican una amplia cobertura: las víctimas se encuentran principalmente en Estados Unidos y Alemania, pero la geografía es mucho más amplia. El ataque explota una vulnerabilidad de día cero en instalaciones locales de SharePoint Server, lo que permite al atacante inyectar una puerta trasera en la infraestructura e infiltrarse en la red de la víctima. Según Eye Security, tras la penetración, los atacantes roban claves criptográficas, en concreto MachineKey, responsable de la validación y el cifrado, y las utilizan para suplantar el tráfico legítimo. De esta forma, el sistema percibe las solicitudes maliciosas como legítimas y el ataque continúa incluso después de instalar las actualizaciones. Esto invalida las medidas de seguridad estándar.

En su informe, los expertos destacan que el exploit se introduce antes de la autenticación y utiliza scripts maliciosos de PowerShell y archivos ASPX dentro del sistema, que descargan los parámetros necesarios de la memoria. Este enfoque permite a los atacantes moverse rápidamente por la red y ejecutar código arbitrario sin necesidad de repetir los ataques.

Shadowserver estima que hasta 9000 servidores SharePoint expuestos a internet podrían estar en riesgo. Los objetivos potenciales incluyen empresas industriales, bancos, auditores, organizaciones médicas y agencias gubernamentales. Un representante del grupo británico PwnDefend afirmó que la situación requiere no solo la instalación de actualizaciones, sino también una auditoría completa de los sistemas, ya que la propia vulnerabilidad podría indicar un compromiso oculto.

Microsoft confirmó los ataques, anunció el lanzamiento de actualizaciones y solicitó su instalación urgente. Sin embargo, la compañía enfatizó que el uso de soluciones estándar por sí solo no garantiza la eliminación de la amenaza si los atacantes ya han obtenido acceso a datos clave. Como medida temporal, sugiere habilitar la Interfaz de Escaneo Antimalware (AMSI), instalar Microsoft Defender y, como último recurso, aislar los servidores de Internet.

Al mismo tiempo, Eye Security y Palo Alto Networks siguen observando una serie de ataques en los que se utiliza la vulnerabilidad CVE-2025-49706 junto con la vulnerabilidad CVE-2025-49704. La combinación de estos exploits permite ejecutar comandos en el servidor con modificaciones mínimas en la solicitud. Al parecer, simplemente especificar la ruta «_layouts/SignOut.aspx» en el encabezado Referer transforma CVE-2025-49706 en una versión completa de CVE-2025-53770. Esta es la técnica que utilizan actualmente los atacantes en campañas de todo el mundo.

Aún no está claro quién está detrás de los ataques. Sin embargo, Google, con acceso al tráfico global, ha vinculado parte de la actividad a un grupo de hackers que opera en China. Representantes de la Embajada de China, como siempre, no han hecho comentarios sobre estas acusaciones. Al mismo tiempo, el FBI y el Centro Nacional de Ciberseguridad del Reino Unido han confirmado que están monitoreando la situación y colaborando con socios privados y públicos para evaluar su impacto.

La situación actual exige que las organizaciones que usan SharePoint Server no solo realicen actualizaciones urgentes, sino también que reconsideren su estrategia de seguridad. Instalar parches ya no será suficiente: si el sistema ya está comprometido, se requiere una inspección exhaustiva de la infraestructura y, en algunos casos, un aislamiento completo.

Redazione
Red Hot Cyber's editorial team consists of a collection of individuals and anonymous sources who actively collaborate by providing advance information and news on cyber security and IT in general.

Lista degli articoli

Artículos destacados

Cadena de suministro: El bloqueo de los aeropuertos europeos plantea inquietud sobre un problema cada vez más crítico.
Di Paolo Galdieri - 24/09/2025

El 20 de septiembre de 2025, un ciberataque afectó a tres de los principales aeropuertos de Europa: Londres-Heathrow, Bruselas y Berlín. Los sistemas digitales que gestionaban la facturación y la g...

¿Cómo deshabilitar un EDR mediante el registro? Con DedicatedDumpFile
Di Alex Necula - 24/09/2025

Trabajé como ingeniero de sistemas durante varios años y una de mis responsabilidades era administrar Citrix PVS. Uno de los problemas con PVS era el análisis de los archivos de volcado. La única ...

¡El rey de los DDoS ya está aquí! 40 segundos a 22,2 terabits mitigados por Cloudflare.
Di Redazione RHC - 23/09/2025

Cloudflare ha anunciado que gestionó de forma independiente un ataque de denegación de servicio distribuido (DDoS) sin precedentes, el más grande jamás visto. El ataque hipervolumétrico alcanzó ...

Los hackers no quieren salvarte: quieren borrarte.
Di Redazione RHC - 21/09/2025

Los piratas informáticos apuntan cada vez más a las copias de seguridad: no a los sistemas o servidores, sino a los datos que las empresas conservan durante un período de tiempo limitado para poder...

Dos activistas de Scattered Spider declarados culpables de ciberataque a TfL
Di Redazione RHC - 19/09/2025

Dos jóvenes involucrados en el grupo Araña Dispersa han sido acusados como parte de la investigación de la Agencia Nacional contra el Crimen sobre un ciberataque a Transport for London (TfL). El 31...