Red Hot Cyber

La ciberseguridad se comparte. Reconozca el riesgo, combátalo, comparta sus experiencias y anime a otros a hacerlo mejor que usted.
Buscar

ToolShell: La nueva amenaza que afecta a los servidores Microsoft SharePoint

Redazione RHC : 21 julio 2025 07:52

Se ha detectado una campaña avanzada de ciberataques dirigida a servidores Microsoft SharePoint. Esta amenaza explota una serie de vulnerabilidades, conocidas como «ToolShell», que permiten a los atacantes obtener control total y remoto de los sistemas, evadiendo la autenticación.

Eye Security, una empresa holandesa de ciberseguridad, identificó la explotación activa el 18 de julio de 2025, revelando lo que los investigadores de seguridad describen como una de las transiciones más rápidas de prueba de concepto a explotación masiva en la historia reciente.

La cadena de vulnerabilidades combina dos fallos de seguridad críticos: CVE-2025-49706 y CVE-2025-49704, demostrado originalmente en Pwn2Own Berlín 2025 en Mayo por investigadores de seguridad de CODE WHITE GmbH, una empresa alemana de seguridad ofensiva.

Mensaje en href=»https://x.com/msftsecresponse/status/1946737930849939793″>Equipo de Respuesta de Seguridad de Microsoft

El exploit permaneció inactivo hasta el 15 de julio de 2025, cuando CODE WHITE compartió públicamente los resultados detallados de su investigación en redes sociales tras el lanzamiento oficial del parche por parte de Microsoft. En tan solo 72 horas tras la divulgación pública, los actores de amenazas habían implementado con éxito el exploit para realizar ataques coordinados a gran escala.

La investigación exhaustiva de Eye Security reveló que los atacantes comenzaron una explotación masiva sistemática el 18 de julio de 2025, alrededor de las 18:00, hora de Europa Central, utilizando inicialmente la dirección IP 107.191.58.76. Una segunda oleada de ataques distinta surgió desde la dirección 104.238.159.149 el 19 de julio de 2025 a las 7:28 a. m. CET, lo que indica claramente una campaña internacional bien coordinada.

El exploit ToolShell elude los mecanismos de autenticación tradicionales al atacar /_layouts/15/ToolPane.aspx, el endpoint vulnerable de SharePoint. A diferencia de los web shells convencionales, diseñados principalmente para la ejecución de comandos, la carga maliciosa extrae específicamente claves criptográficas confidenciales de los servidores de SharePoint, incluyendo los materiales críticos ValidationKey y DecryptionKey.

«Este no era un web shell típico», explicaron los investigadores de Eye Security en su detallado análisis técnico. El atacante convierte la confianza inherente de SharePoint en su propia configuración en un arma poderosa. Una vez obtenidos estos secretos criptográficos, los atacantes pueden crear una carga útil __VIEWSTATE totalmente válida para lograr la ejecución remota completa de código, sin necesidad de credenciales de usuario.

El sofisticado ataque utiliza técnicas similares a CVE-2021-28474, explotando los procesos de control de deserialización y renderizado de SharePoint. Al obtener la clave de validación del servidor, los atacantes pueden firmar digitalmente cargas maliciosas que SharePoint acepta automáticamente como entrada legítima y confiable, eludiendo eficazmente todos los controles de seguridad y medidas defensivas existentes.

El análisis exhaustivo de Eye Security de más de 1000 servidores SharePoint implementados en todo el mundo reveló docenas de sistemas comprometidos activamente en numerosas organizaciones. La empresa de ciberseguridad inició de inmediato procedimientos de divulgación responsables, contactando directamente con todas las organizaciones afectadas y los Equipos de Respuesta a Emergencias Informáticas (CERT) nacionales en Europa y a nivel internacional.

Redazione
Red Hot Cyber's editorial team consists of a collection of individuals and anonymous sources who actively collaborate by providing advance information and news on cyber security and IT in general.

Lista degli articoli

Artículos destacados

16.000 millones de dólares en credenciales robadas de Apple, Meta y Google a la venta por 121.000 dólares
Di Redazione RHC - 05/09/2025

El equipo de Darklab, la comunidad de expertos en inteligencia de amenazas de Red Hot Cyber, ha identificado un anuncio en el mercado de la dark web «Tor Amazon», la contraparte criminal del popular...

Red Hot Cyber Conference 2026: Patrocinios abiertos para la quinta edición en Roma
Di Redazione RHC - 04/09/2025

La Conferencia Red Hot Cyber se ha convertido en un evento habitual para la comunidad Red Hot Cyber y para cualquier persona que trabaje o esté interesada en el mundo de las tecnologías digitales y ...

¡La IA de Hexstrike desata el caos! Días cero explotados en tiempo récord.
Di Redazione RHC - 04/09/2025

El lanzamiento de Hexstrike-AI marca un punto de inflexión en el panorama de la ciberseguridad. El framework, considerado una herramienta de última generación para equipos rojos e investigadores, e...

LockBit 5.0: ¿Señales de un nuevo y posible «renacimiento»?
Di Pietro Melillo - 03/09/2025

LockBit representa una de las bandas de ransomware más longevas y mejor estructuradas de los últimos años, con un modelo de ransomware como servicio (RaaS) que ha impactado profundamente el ecosist...

¿Hubo terror en el vuelo de Ursula von der Leyen? ¡Aclaremos las cosas!
Di Giovanni Pollola - 02/09/2025

El 31 de agosto de 2025, el vuelo AAB53G, operado por un Dassault Falcon 900LX con matrícula OO-GPE y con la presidenta de la Comisión Europea, Ursula von der Leyen, despegó de Varsovia y aterrizó...