El domingo 20 de julio, Microsoft Corp. emitió una actualización de seguridad de emergencia para una vulnerabilidad en el servidor de SharePoint que se está explotando activamente para comprometer a las organizaciones vulnerables. El parche se produce en medio de los informes de que los piratas informáticos maliciosos han utilizado el defecto de SharePoint para violar las agencias, universidades y empresas federales y estatales de los Estados Unidos. Imagen: Shutterstock, de Ascannio. En un aviso sobre el agujero de seguridad de SharePoint, también conocido como CVE-2025-53770, Microsoft dijo que es consciente de los ataques activos dirigidos a los clientes de SharePoint Server de SharePoint y explotando vulnerabilidades que solo se abordaron parcialmente por la actualización de seguridad del 8 de julio de 2025. La Agencia de Seguridad de Ciberseguridad e Infraestructura (CISA) coincidió, diciendo que CVE-2025-53770 es una variante en una falla Microsoft parcheada a principios de este mes (CVE-2025-49706). Microsoft señala que la debilidad se aplica solo a los servidores de SharePoint que las organizaciones usan internamente, y que SharePoint Online y Microsoft 365 no se ven afectados. El Washington Post informó el domingo que el gobierno y los socios de los Estados Unidos en Canadá y Australia están investigando el truco de los servidores de SharePoint, que proporcionan una plataforma para compartir y administrar documentos. El Post informa que al menos dos agencias federales de EE. UU. Han visto sus servidores violados a través de la vulnerabilidad de SharePoint. Según CISA, los atacantes que explotan la falla recién descubierta están modificando los servidores comprometidos con una puerta trasera denominada «Shellshell» que proporciona acceso remoto y no autenticado a los sistemas. CISA dijo que Toolshell permite a los atacantes acceder completamente a contenido de SharePoint, incluidos los sistemas de archivos y las configuraciones internas, y ejecutar código a través de la red. Los investigadores de Eye Security dijeron que vieron por primera vez la explotación a gran escala de la falla de SharePoint el 18 de julio de 2025, y pronto encontraron docenas de servidores separados comprometidos por el error e infectado con herramientas. En una publicación de blog, los investigadores dijeron que los ataques buscaban robar las claves de la máquina ASP.NET de SharePoint Server. «Estas claves se pueden usar para facilitar más ataques, incluso en una fecha posterior», advirtió Eye Security. «Es fundamental que los servidores afectados roten las claves de la máquina ASP.NET del servidor de SharePoint y reinicie IIS en todos los servidores de SharePoint. Parchar solo no es suficiente. Aconsejamos encarecidamente a los defensores que no esperen una solución de proveedor antes de tomar medidas. Esta amenaza ya está operativa y se extiende rápidamente». Microsoft’s advisory says the company has issued updates for SharePoint Server Subscription Edition and SharePoint Server 2019, but that it is still working on updates for supported versions of SharePoint 2019 and SharePoint 2016. CISA advises vulnerable organizations to enable the anti-malware scan interface (AMSI) in SharePoint, to deploy Microsoft Defender AV on all SharePoint servers, and to disconnect affected products from the Internet de orientación pública hasta que haya un parche oficial disponible. La firma de seguridad Rapid7 señala que Microsoft ha descrito CVE-2025-53770 en relación con una vulnerabilidad anterior, CVE-2025-49704, parcheada a principios de este mes, y que CVE-2025-49704 fue parte de una cadena de exploit demostrada en la competencia de piratería PWN2OWN en mayo 2025. La cadena de la cadena de expulsión invocada por una segunda liquidación de Sharepoint- CVE-2025-49706-que Microsoft intentó arreglar sin éxito en el parche de este mes el martes. Microsoft también ha emitido un parche para una vulnerabilidad de SharePoint relacionada: CVE-2025-53771; Microsoft dice que no hay signos de ataques activos en CVE-2025-53771, y que el parche es proporcionar protecciones más robustas que la actualización para CVE-2025-49706. Esta es una historia en rápido desarrollo. Cualquier actualización se observará con marcas de tiempo.