Red Hot Cyber, The cybersecurity news

Red Hot Cyber

La ciberseguridad se comparte. Reconozca el riesgo, combátalo, comparta sus experiencias y anime a otros a hacerlo mejor que usted.
Select language
English Italian
Buscar

ToolShell: La vulnerabilidad de día cero de Microsoft SharePoint ha estado bajo ataque desde principios de julio

Redazione RHC : 24 julio 2025 08:13

Según expertos en ciberseguridad, varios grupos de hackers chinos están explotando una serie de vulnerabilidades de día cero en Microsoft SharePoint en sus ataques. En particular, se reveló que los atacantes también comprometieron la red de la Administración Nacional de Seguridad Nuclear (NSA) de EE. UU., como se informó en el artículo anterior.

ToolShell

La cadena de vulnerabilidades de día cero en SharePoint se denominó ToolShell y se demostró por primera vez durante la competencia de hacking Pwn2Own en Berlín en mayo de 2025. En esa ocasión, especialistas de Viettel Cyber Security combinaron dos vulnerabilidades. (CVE-2025-49706 y CVE-2025-49704) utilizadas para realizar un ataque RCE.

Aunque Microsoft lanzó parches para ambas vulnerabilidades de ToolShell en julio de 2025, los atacantes lograron evadir las correcciones mediante nuevos exploits. Como resultado, se han identificado nuevas vulnerabilidades, CVE-2025-53770 (9,8 puntos en la escala CVSS; omite el parche para CVE-2025-49704) y CVE-2025-53771 (6,3 puntos en la escala CVSS; omite el parche para CVE-2025-49706). La semana pasada, los analistas de Eye Security informaron que ya se habían explotado nuevas vulnerabilidades para atacar servidores locales de SharePoint.

Como resultado, los desarrolladores de Microsoft ya han publicado parches de emergencia para ambos problemas de RCE, corrigiendo las vulnerabilidades en SharePoint Subscription Edition, SharePoint 2019 y SharePoint 2016:

  • KB5002754 para Microsoft SharePoint Server 2019 Core y KB5002753 para el paquete de idioma de Microsoft SharePoint Server 2019;
  • KB5002760 para Microsoft SharePoint Enterprise Server 2016 y KB5002759 para el paquete de idioma de Microsoft SharePoint Enterprise Server 2016;
  • KB5002768 para la edición de suscripción de Microsoft SharePoint.

Además, Microsoft recomienda encarecidamente que los administradores roten las claves después de instalar las revisiones. También recomendamos integrar y habilitar la Interfaz de Análisis Antimalware (AMSI) y el Antivirus de Microsoft Defender (u otras soluciones similares) para todas las implementaciones locales de SharePoint, así como configurar AMSI en modo completo.

Ataques

Según numerosos informes de expertos, decenas de organizaciones en todo el mundo ya han sido víctimas de ataques. Por ejemplo, Cisco Talos, Censys, Check Point, CrowdStrike, Palo Alto Networks, Qualys, SentinelOne, Tenable, Trend Micro, etc.

A su vez, los expertos de Microsoft escriben que nuevos Las vulnerabilidades han sido explotadas por los grupos APT chinos Linen Typhoon (también conocidos como APT27, Bronze Union, Emissary Panda, Iodine, Lucky Mouse, Red Phoenix y UNC215), Violet Typhoon (también conocidos como APT31, Bronze Vinewood, Judgement Panda, Red Keres y Zirconium) y un tercer grupo de hackers chinos, Storm-2603. La información sobre ataques de hackers chinos a SharePoint también ha sido confirmada por especialistas de Google Cloud de Mandiant Consulting.

Al mismo tiempo, según los especialistas de Check Point, los primeros indicios de explotación de vulnerabilidades se descubrieron el 7 de julio de 2025. Los atacantes han atacado a docenas de organizaciones de los sectores gubernamental, de telecomunicaciones y de TI en Norteamérica y Europa Occidental. Microsoft ha compartido los siguientes indicadores de compromiso (IOC) para ayudar a los defensores a identificar servidores SharePoint comprometidos:

  • 199.202[.]205: Dirección IP que explota vulnerabilidades de SharePoint;
  • 238.159[.]149: Dirección IP que explota vulnerabilidades de SharePoint;
  • 130.206[.]168: Dirección IP que explota vulnerabilidades de SharePoint;
  • 226.2[.]6: Servidor de control utilizado para la postexplotación;
  • aspx: Un webshell distribuido por atacantes (también conocido como spinstall.aspx, spinstall1.aspx y spinstall2.aspx);
  • ngrok-free[.]app/file.ps1: Túnel de Ngrok utilizado para distribuir PowerShell.

Para empeorar las cosas, esta semana un exploit de prueba de concepto para CVE-2025-53770, que los investigadores de seguridad esperan que pronto impulse a otros grupos de hackers a unirse al ataque ToolShell. Según los expertos de Eye Security, al menos 400 servidores y 148 organizaciones en todo el mundo se han visto afectados por ataques ToolShell.

También cabe destacar que hoy se reveló que la Administración Nacional de Seguridad Nuclear (NNSA) de EE. UU. fue víctima del ataque ToolShell. Esta agencia, que forma parte del Departamento de Energía de EE. UU., es responsable de almacenar el arsenal de armas nucleares del país y de responder a emergencias nucleares y radiológicas en EE. UU. y en el extranjero.

Redazione
Red Hot Cyber's editorial team consists of a collection of individuals and anonymous sources who actively collaborate by providing advance information and news on cyber security and IT in general.

Lista degli articoli

Artículos destacados

Reino Unido: Normas estrictas para la verificación de edad en línea. Pornhub y YouPorn las cumplirán.
Di Redazione RHC - 25/07/2025

A partir del viernes, los adultos en el Reino Unido que intenten acceder a pornografía deberán demostrar que son mayores de 18 años, según algunas de las regulaciones más estr...

Operación Jaque Mate: Un gran golpe policial. ¡BlackSuit ha sido detenido!
Di Redazione RHC - 25/07/2025

Durante una operación internacional coordinada denominada Operación Jaque Mate, las fuerzas del orden asestaron un duro golpe al grupo de ransomware BlackSuit (enlace onion aquí), que h...

¿Qué hace un CISO? Conoce al Director de Seguridad de la Información: un puesto atractivo pero exigente.
Di Redazione RHC - 24/07/2025

¿Cuántas veces hemos escuchado el acrónimo CISO? Pero ¿cuántos desconocemos su significado exacto o tenemos poco conocimiento profundo de la función de un Director de Seg...

¡XSS.IS silenciado! Dentro de la investigación que desmanteló uno de los bazares más temidos del cibercrimen.
Di Redazione RHC - 24/07/2025

Imagina abrir tu foro favorito, como cada noche, y encontrar nuevas variantes de robo de credenciales o un nuevo lote de credenciales vulneradas. En lugar del tablón de anuncios habitual, aparece...

¿Qué es AIOps? Cómo funciona la inteligencia artificial en las operaciones de TI
Di Redazione RHC - 24/07/2025

AIOps (Inteligencia Artificial para Operaciones de TI) es la aplicación de la inteligencia artificial, como el aprendizaje automático, el procesamiento del lenguaje natural y la analíti...

Banner
Redhotcyber es un proyecto de noticias abiertas iniciado en 2019 y ampliado posteriormente a una red de personas que colaboran en la difusión de información y temas centrados en la tecnología, la informática y la ciberseguridad, con el objetivo de aumentar los conceptos de concienciación sobre riesgos a un número cada vez mayor de personas.

Para más información: [email protected]