2 de junio de 2025Ravie Lakshmananzero-Day / Vulnerabilidad Una vulnerabilidad de seguridad crítica en Microsoft SharePoint Server ha sido armada como parte de una campaña de explotación «activa a gran escala». El defecto de día cero, rastreado como CVE-2025-53770 (puntaje CVSS: 9.8), se ha descrito como una variante de CVE-2025-49706 (puntaje CVSS: 6.3), un error de suplantación en el servidor de SharePoint de Microsoft que fue abordado por la tecnología como parte de su parche de julio de 2025 las actualizaciones de los martes los martes. «La deserialización de los datos no confiables en Microsoft SharePoint Server permite a un atacante no autorizado ejecutar código a través de una red», dijo Microsoft en un aviso publicado el 19 de julio de 2025. El fabricante de Windows señaló además que está preparando y probando completamente una actualización integral para resolver el problema. Acreditó a Viettel Cyber Security por descubrir e informar la falla a través de la iniciativa de Trend Micro’s Zero Day (ZDI). En una alerta separada emitida el sábado, Redmond dijo que es consciente de los ataques activos dirigidos a clientes de SharePoint Server en los equipos, pero enfatizó que SharePoint Online en Microsoft 365 no se ve afectado. En ausencia de un parche oficial, Microsoft insta a los clientes a configurar la integración de la interfaz de escaneo de antimalware (AMSI) en SharePoint e implementar el defensor AV en todos los servidores de SharePoint. Vale la pena señalar que la integración de AMSI está habilitada de forma predeterminada en la actualización de seguridad de septiembre de 2023 para SharePoint Server 2016/2019 y la actualización de funciones de la versión 23H2 para la edición de suscripción de SharePoint Server. Para aquellos que no pueden habilitar AMSI, se aconseja que el servidor de SharePoint esté desconectado de Internet hasta que esté disponible una actualización de seguridad. Para una protección adicional, se recomienda a los usuarios implementar el defensor para el punto final para detectar y bloquear la actividad posterior a la explotación. La divulgación se produce cuando la Unidad de Networks de Seguridad Ojera y Palo Alto Advirtió sobre los ataques que encadenan CVE-2025-49706 y CVE-2025-49704 (puntaje CVSS: 8.8), una falla de inyección de código en SharePoint, para facilitar la ejecución del comando arbitrary en instancias susceptibles. La cadena de exploit ha sido con nombre en código de herramientas. Pero dado que CVE-2025-53770 es una «variante» de CVE-2025-49706, se sospecha que estos ataques están relacionados. La actividad maliciosa esencialmente implica la entrega de cargas útiles ASPX a través de PowerShell, que luego se utiliza para robar la configuración de la ametralladora del servidor SharePoint, incluida la validationKey y DecryptionKey, para mantener el acceso persistente. La compañía de seguridad cibernética holandesa dijo que estas claves son cruciales para generar cargas útiles válidas de __viewState, y que obtener acceso a ellas convierte efectivamente cualquier solicitud de SharePoint autenticada en una oportunidad de ejecución de código remoto. «Todavía estamos identificando olas de exploit masivas», dijo el CTO de Seguridad ocular Piet Kerkhofs a The Hacker News en un comunicado. «Esto tendrá un gran impacto a medida que los adversarios se muevan lateralmente utilizando esta ejecución de código remoto con velocidad». «Notificamos a casi 75 organizaciones que se violaron, ya que identificamos el caparazón web malicioso en sus servidores de SharePoint. En este grupo hay grandes empresas y grandes organismos gubernamentales en todo el mundo». Vale la pena señalar que Microsoft aún no ha actualizado sus avisos para CVE-2025-49706 y CVE-2025-49704 para reflejar la explotación activa. También nos hemos comunicado con la empresa para obtener más aclaraciones, y actualizaremos la historia si recibimos noticias. (La historia se está desarrollando. Vuelve a consultar para obtener más detalles).