ToolShell: La nueva amenaza que afecta a los servidores Microsoft SharePoint

Redazione RHC : 21 julio 2025 07:52

Se ha detectado una campaña avanzada de ciberataques dirigida a servidores Microsoft SharePoint. Esta amenaza explota una serie de vulnerabilidades, conocidas como «ToolShell», que permiten a los atacantes obtener control total y remoto de los sistemas, evadiendo la autenticación.

Eye Security, una empresa holandesa de ciberseguridad, identificó la explotación activa el 18 de julio de 2025, revelando lo que los investigadores de seguridad describen como una de las transiciones más rápidas de prueba de concepto a explotación masiva en la historia reciente.

La cadena de vulnerabilidades combina dos fallos de seguridad críticos: CVE-2025-49706 y CVE-2025-49704, demostrado originalmente en Pwn2Own Berlín 2025 en Mayo por investigadores de seguridad de CODE WHITE GmbH, una empresa alemana de seguridad ofensiva.

El exploit permaneció inactivo hasta el 15 de julio de 2025, cuando CODE WHITE compartió públicamente los resultados detallados de su investigación en redes sociales tras el lanzamiento oficial del parche por parte de Microsoft. En tan solo 72 horas tras la divulgación pública, los actores de amenazas habían implementado con éxito el exploit para realizar ataques coordinados a gran escala.

La investigación exhaustiva de Eye Security reveló que los atacantes comenzaron una explotación masiva sistemática el 18 de julio de 2025, alrededor de las 18:00, hora de Europa Central, utilizando inicialmente la dirección IP 107.191.58.76. Una segunda oleada de ataques distinta surgió desde la dirección 104.238.159.149 el 19 de julio de 2025 a las 7:28 a. m. CET, lo que indica claramente una campaña internacional bien coordinada.

El exploit ToolShell elude los mecanismos de autenticación tradicionales al atacar /_layouts/15/ToolPane.aspx, el endpoint vulnerable de SharePoint. A diferencia de los web shells convencionales, diseñados principalmente para la ejecución de comandos, la carga maliciosa extrae específicamente claves criptográficas confidenciales de los servidores de SharePoint, incluyendo los materiales críticos ValidationKey y DecryptionKey.

«Este no era un web shell típico», explicaron los investigadores de Eye Security en su detallado análisis técnico. El atacante convierte la confianza inherente de SharePoint en su propia configuración en un arma poderosa. Una vez obtenidos estos secretos criptográficos, los atacantes pueden crear una carga útil __VIEWSTATE totalmente válida para lograr la ejecución remota completa de código, sin necesidad de credenciales de usuario.

El sofisticado ataque utiliza técnicas similares a CVE-2021-28474, explotando los procesos de control de deserialización y renderizado de SharePoint. Al obtener la clave de validación del servidor, los atacantes pueden firmar digitalmente cargas maliciosas que SharePoint acepta automáticamente como entrada legítima y confiable, eludiendo eficazmente todos los controles de seguridad y medidas defensivas existentes.

El análisis exhaustivo de Eye Security de más de 1000 servidores SharePoint implementados en todo el mundo reveló docenas de sistemas comprometidos activamente en numerosas organizaciones. La empresa de ciberseguridad inició de inmediato procedimientos de divulgación responsables, contactando directamente con todas las organizaciones afectadas y los Equipos de Respuesta a Emergencias Informáticas (CERT) nacionales en Europa y a nivel internacional.

Redazione
Red Hot Cyber's editorial team consists of a collection of individuals and anonymous sources who actively collaborate by providing advance information and news on cyber security and IT in general.

Lista degli articoli