Redazione RHC : 21 julio 2025 07:52
Se ha detectado una campaña avanzada de ciberataques dirigida a servidores Microsoft SharePoint. Esta amenaza explota una serie de vulnerabilidades, conocidas como «ToolShell», que permiten a los atacantes obtener control total y remoto de los sistemas, evadiendo la autenticación.
Eye Security, una empresa holandesa de ciberseguridad, identificó la explotación activa el 18 de julio de 2025, revelando lo que los investigadores de seguridad describen como una de las transiciones más rápidas de prueba de concepto a explotación masiva en la historia reciente.
La cadena de vulnerabilidades combina dos fallos de seguridad críticos: CVE-2025-49706 y CVE-2025-49704, demostrado originalmente en Pwn2Own Berlín 2025 en Mayo por investigadores de seguridad de CODE WHITE GmbH, una empresa alemana de seguridad ofensiva.
El exploit permaneció inactivo hasta el 15 de julio de 2025, cuando CODE WHITE compartió públicamente los resultados detallados de su investigación en redes sociales tras el lanzamiento oficial del parche por parte de Microsoft. En tan solo 72 horas tras la divulgación pública, los actores de amenazas habían implementado con éxito el exploit para realizar ataques coordinados a gran escala.
La investigación exhaustiva de Eye Security reveló que los atacantes comenzaron una explotación masiva sistemática el 18 de julio de 2025, alrededor de las 18:00, hora de Europa Central, utilizando inicialmente la dirección IP 107.191.58.76. Una segunda oleada de ataques distinta surgió desde la dirección 104.238.159.149 el 19 de julio de 2025 a las 7:28 a. m. CET, lo que indica claramente una campaña internacional bien coordinada.
El exploit ToolShell elude los mecanismos de autenticación tradicionales al atacar /_layouts/15/ToolPane.aspx, el endpoint vulnerable de SharePoint. A diferencia de los web shells convencionales, diseñados principalmente para la ejecución de comandos, la carga maliciosa extrae específicamente claves criptográficas confidenciales de los servidores de SharePoint, incluyendo los materiales críticos ValidationKey y DecryptionKey.
«Este no era un web shell típico», explicaron los investigadores de Eye Security en su detallado análisis técnico. El atacante convierte la confianza inherente de SharePoint en su propia configuración en un arma poderosa. Una vez obtenidos estos secretos criptográficos, los atacantes pueden crear una carga útil __VIEWSTATE totalmente válida para lograr la ejecución remota completa de código, sin necesidad de credenciales de usuario.
El sofisticado ataque utiliza técnicas similares a CVE-2021-28474, explotando los procesos de control de deserialización y renderizado de SharePoint. Al obtener la clave de validación del servidor, los atacantes pueden firmar digitalmente cargas maliciosas que SharePoint acepta automáticamente como entrada legítima y confiable, eludiendo eficazmente todos los controles de seguridad y medidas defensivas existentes.
El análisis exhaustivo de Eye Security de más de 1000 servidores SharePoint implementados en todo el mundo reveló docenas de sistemas comprometidos activamente en numerosas organizaciones. La empresa de ciberseguridad inició de inmediato procedimientos de divulgación responsables, contactando directamente con todas las organizaciones afectadas y los Equipos de Respuesta a Emergencias Informáticas (CERT) nacionales en Europa y a nivel internacional.
El equipo de Darklab, la comunidad de expertos en inteligencia de amenazas de Red Hot Cyber, ha identificado un anuncio en el mercado de la dark web «Tor Amazon», la contraparte criminal del popular...
La Conferencia Red Hot Cyber se ha convertido en un evento habitual para la comunidad Red Hot Cyber y para cualquier persona que trabaje o esté interesada en el mundo de las tecnologías digitales y ...
El lanzamiento de Hexstrike-AI marca un punto de inflexión en el panorama de la ciberseguridad. El framework, considerado una herramienta de última generación para equipos rojos e investigadores, e...
LockBit representa una de las bandas de ransomware más longevas y mejor estructuradas de los últimos años, con un modelo de ransomware como servicio (RaaS) que ha impactado profundamente el ecosist...
El 31 de agosto de 2025, el vuelo AAB53G, operado por un Dassault Falcon 900LX con matrícula OO-GPE y con la presidenta de la Comisión Europea, Ursula von der Leyen, despegó de Varsovia y aterrizó...