Microsoft lanzó el domingo parches de seguridad para una falla de seguridad explotada activamente en SharePoint y también publicó detalles de otra vulnerabilidad que, según él, se ha abordado con «protecciones más sólidas». El gigante tecnológico reconoció que «consciente de los ataques activos dirigidos a los clientes de SharePoint Server en los equipos explotando vulnerabilidades parcialmente abordadas por la actualización de seguridad de julio». CVE-2025-53770 (puntaje CVSS: 9.8), a medida que se rastrean la vulnerabilidad explotada, se refiere a un caso de ejecución de código remoto que surge debido a la deserialización de datos no confiables en las versiones locales del servidor de Microsoft SharePoint. La deficiencia recientemente revelada es un defecto de falsificación en SharePoint (CVE-2025-53771, puntaje CVSS: 6.3). Un investigador anónimo ha sido acreditado por descubrir e informar el error. «Improper limitation of a pathname to a restricted directory (‘path traversal’) in Microsoft Office SharePoint allows an authorized attacker to perform spoofing over a network,» Microsoft said in an advisory released on July 20, 2025. Microsoft also noted that CVE-2025-53770 and CVE-2025-53771 are related to two other SharePoint vulnerabilities documented by CVE-2025-49704 y CVE-2025-49706, que podría estar encadenado para lograr la ejecución de código remoto. La cadena de exploit, denominada Shell de herramientas, fue parcheada como parte de la actualización del parche de julio de 2025 de la compañía, la actualización del martes. «La actualización para CVE-2025-53770 incluye protecciones más robustas que la actualización de CVE-2025-49704», dijo el fabricante de Windows. «La actualización para CVE-2025-53771 incluye protecciones más sólidas que la actualización para CVE-2025-49706». Vale la pena señalar que Microsoft caracterizó previamente CVE-2025-53770 como una variante de CVE-2025-49706. Cuando se le contactó para hacer comentarios sobre esta discrepancia, un portavoz de Microsoft le dijo a The Hacker News que «está priorizando obtener actualizaciones a los clientes y al mismo tiempo corrige cualquier inexactitud de contenido según sea necesario». La compañía también dijo que el contenido publicado actual es correcto y que la inconsistencia anterior no afecta la guía de la compañía para los clientes. Ambas fallas identificadas se aplican solo a los servidores de SharePoint en las instalaciones, y no afectan a SharePoint Online en Microsoft 365. Los problemas se han abordado en las versiones a continuación (por ahora): para mitigar los posibles ataques, los clientes se recomiendan que usen versiones compatibles con las versiones compatibles de las últimas actualizaciones de SHAREPEPINT (SharePoint Server 2016, 2019, 2019 y la edición de suscripción de SharePoint) aplican las últimas actualizaciones de seguridad de las últimas actualizaciones de seguridad de las últimas actualizaciones de SCARAFACA (AMSWARET (AMSWARECTING (AMSWARSER SERVER (AMSWARE (AMSWARS). se enciende y habilita el modo completo para una protección óptima, junto con una solución antivirus apropiada, como defensor antivirus, el defensor de Microsoft para la protección de punto final, o las soluciones de amenaza equivalentes que rotarán las claves de la máquina ASP.NET del servidor de SharePoint de SharePoint «, después de aplicar las últimas actualizaciones de seguridad anteriores o habilitar AMSI, es crítico que los clientes son los clientes de SharePoint Server ASP.Net Machine Keys y reiniciar IS en todas las actualizaciones de Sharepoint. «Si no puede habilitar AMSI, deberá girar sus claves después de instalar la nueva actualización de seguridad». El desarrollo se produce cuando Eye Security le dijo a Hacker News que al menos 54 organizaciones se han comprometido, incluidos bancos, universidades y entidades gubernamentales. Se dice que la explotación activa comenzó alrededor del 18 de julio, según la compañía. La Agencia de Seguridad de Ciberseguridad e Infraestructura de EE. UU. (CISA), por su parte, agregó CVE-2025-53770 a su catálogo de vulnerabilidades explotadas (KEV) conocidas, que requiere que las agencias de la rama ejecutiva civil federal (FCEB) apliquen las fijas antes del 21 de julio de 2025. Las escuelas, la atención médica, incluidos los hospitales y las grandes empresas empresariales tienen un riesgo inmediato. «Los atacantes están pasando por alto los controles de identidad, incluidos MFA y SSO, para obtener acceso privilegiado», dijo Michael Sikorski, CTO y Jefe de Inteligencia de Amenazas para la Unidad 42 en Palo Alto Networks, a The Hacker News. «Una vez dentro, están exfiltrando datos confidenciales, desplegando puertas traseras persistentes y robando claves criptográficas. Los atacantes han aprovechado esta vulnerabilidad para ingresar a los sistemas y ya está estableciendo su punto de apoyo». Parchear solo es insuficiente para desalojar completamente la amenaza. Lo que hace que esto sea especialmente preocupante es la profunda integración de SharePoint con la plataforma de Microsoft, incluidos sus servicios como oficina, equipos, OneDrive y Outlook, que tienen toda la información valiosa para un atacante. Un compromiso no permanece contenido: abre la puerta a toda la red. «El proveedor de seguridad cibernética también lo ha clasificado como una amenaza de alta severidad y de alta razón, instando a las organizaciones que ejecutan los servidores de Microsoft SharePoint de Microsoft para aplicar los parches necesarios con un efecto inmediato, rotar todo el material criptográfico e involucrar a los esfuerzos de respuesta de incidentes». Una fijación inmediata de la banda es un fregón de la banda a la banda, a la banda, a los parches a no planear, a los esfuerzos de los accesorios de la banda. Hay un parche disponible, «Sikorski agregó.» Una falsa sensación de seguridad podría resultar en una exposición prolongada y un compromiso generalizado «. (Esta es una historia en desarrollo. Vuelve a consultar para obtener más detalles).