ToolShell: La vulnerabilidad de día cero de Microsoft SharePoint ha estado bajo ataque desde principios de julio

Redazione RHC : 24 julio 2025 08:13

Según expertos en ciberseguridad, varios grupos de hackers chinos están explotando una serie de vulnerabilidades de día cero en Microsoft SharePoint en sus ataques. En particular, se reveló que los atacantes también comprometieron la red de la Administración Nacional de Seguridad Nuclear (NSA) de EE. UU., como se informó en el artículo anterior.

ToolShell

La cadena de vulnerabilidades de día cero en SharePoint se denominó ToolShell y se demostró por primera vez durante la competencia de hacking Pwn2Own en Berlín en mayo de 2025. En esa ocasión, especialistas de Viettel Cyber Security combinaron dos vulnerabilidades. (CVE-2025-49706 y CVE-2025-49704) utilizadas para realizar un ataque RCE.

Aunque Microsoft lanzó parches para ambas vulnerabilidades de ToolShell en julio de 2025, los atacantes lograron evadir las correcciones mediante nuevos exploits. Como resultado, se han identificado nuevas vulnerabilidades, CVE-2025-53770 (9,8 puntos en la escala CVSS; omite el parche para CVE-2025-49704) y CVE-2025-53771 (6,3 puntos en la escala CVSS; omite el parche para CVE-2025-49706). La semana pasada, los analistas de Eye Security informaron que ya se habían explotado nuevas vulnerabilidades para atacar servidores locales de SharePoint.

Como resultado, los desarrolladores de Microsoft ya han publicado parches de emergencia para ambos problemas de RCE, corrigiendo las vulnerabilidades en SharePoint Subscription Edition, SharePoint 2019 y SharePoint 2016:

• KB5002754 para Microsoft SharePoint Server 2019 Core y KB5002753 para el paquete de idioma de Microsoft SharePoint Server 2019;
• KB5002760 para Microsoft SharePoint Enterprise Server 2016 y KB5002759 para el paquete de idioma de Microsoft SharePoint Enterprise Server 2016;
• KB5002768 para la edición de suscripción de Microsoft SharePoint.

Además, Microsoft recomienda encarecidamente que los administradores roten las claves después de instalar las revisiones. También recomendamos integrar y habilitar la Interfaz de Análisis Antimalware (AMSI) y el Antivirus de Microsoft Defender (u otras soluciones similares) para todas las implementaciones locales de SharePoint, así como configurar AMSI en modo completo.

Ataques

Según numerosos informes de expertos, decenas de organizaciones en todo el mundo ya han sido víctimas de ataques. Por ejemplo, Cisco Talos, Censys, Check Point, CrowdStrike, Palo Alto Networks, Qualys, SentinelOne, Tenable, Trend Micro, etc.

A su vez, los expertos de Microsoft escriben que nuevos Las vulnerabilidades han sido explotadas por los grupos APT chinos Linen Typhoon (también conocidos como APT27, Bronze Union, Emissary Panda, Iodine, Lucky Mouse, Red Phoenix y UNC215), Violet Typhoon (también conocidos como APT31, Bronze Vinewood, Judgement Panda, Red Keres y Zirconium) y un tercer grupo de hackers chinos, Storm-2603. La información sobre ataques de hackers chinos a SharePoint también ha sido confirmada por especialistas de Google Cloud de Mandiant Consulting.

Al mismo tiempo, según los especialistas de Check Point, los primeros indicios de explotación de vulnerabilidades se descubrieron el 7 de julio de 2025. Los atacantes han atacado a docenas de organizaciones de los sectores gubernamental, de telecomunicaciones y de TI en Norteamérica y Europa Occidental. Microsoft ha compartido los siguientes indicadores de compromiso (IOC) para ayudar a los defensores a identificar servidores SharePoint comprometidos:

• 199.202[.]205: Dirección IP que explota vulnerabilidades de SharePoint;
• 238.159[.]149: Dirección IP que explota vulnerabilidades de SharePoint;
• 130.206[.]168: Dirección IP que explota vulnerabilidades de SharePoint;
• 226.2[.]6: Servidor de control utilizado para la postexplotación;
• aspx: Un webshell distribuido por atacantes (también conocido como spinstall.aspx, spinstall1.aspx y spinstall2.aspx);
• ngrok-free[.]app/file.ps1: Túnel de Ngrok utilizado para distribuir PowerShell.

Para empeorar las cosas, esta semana un exploit de prueba de concepto para CVE-2025-53770, que los investigadores de seguridad esperan que pronto impulse a otros grupos de hackers a unirse al ataque ToolShell. Según los expertos de Eye Security, al menos 400 servidores y 148 organizaciones en todo el mundo se han visto afectados por ataques ToolShell.

También cabe destacar que hoy se reveló que la Administración Nacional de Seguridad Nuclear (NNSA) de EE. UU. fue víctima del ataque ToolShell. Esta agencia, que forma parte del Departamento de Energía de EE. UU., es responsable de almacenar el arsenal de armas nucleares del país y de responder a emergencias nucleares y radiológicas en EE. UU. y en el extranjero.

Redazione
Red Hot Cyber's editorial team consists of a collection of individuals and anonymous sources who actively collaborate by providing advance information and news on cyber security and IT in general.

Lista degli articoli