ESET afirma que se trata de dos vulnerabilidades zero-day que han sido utilizadas en ataques en distintas partes del mundo desde inicios de julio.
Microsoft lanzó una actualización de último momento para corregir dos vulnerabilidades zero day en SharePoint Server que han sido utilizadas activamente en ataques a servidores locales en distintos países. Se estima que más de 50 organizaciones ya fueron víctimas de ataques que explotan estas vulnerabilidades. ESET advierte que estas vulnerabilidades permitieron ataques desde inicios de julio.
Se trata de las vulnerabilidades CVE-2025-53770 y CVE-2025-53771 y afectan a las versiones de SharePoint Server Subscription Edition, SharePoint 2019 y SharePoint 2016. Estas vulnerabilidades no afectan a SharePoint 365, sino a SharePoint Server que es la versión que se instala localmente.
Estas dos vulnerabilidades zero-day lo que hacen es evadir las correcciones de seguridad que se habían lanzado en la última actualización de julio que lanzó Microsoft cuando repararon otras vulnerabilidades. “Se denomina Zero-Day a una vulnerabilidad que ha sido recientemente descubierta, y para la cual aún no existe un parche de seguridad que subsane el problema por lo que puede ser aprovechada por atacantes para propagar amenazas informáticas. Puntualmente, lo que hacen estas dos nuevas vulnerabilidades es permitir a un atacante la ejecución de código de forma remota sin necesidad de autenticación y tomar control del servidor de la víctima”, comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.
Microsoft describe en un comunicado la debilidad como “deserialización de datos no confiables”. Según explicaron investigadores a WashingtonPost, “estos ataques permiten a los atacantes extraer claves criptográficas de servidores de clientes que corren SharePoint y con estas claves pueden instalar cualquier cosa; incluso backdoors que permitirían a actores maliciosos mantener una puerta abierta para volver”.
Desde la explotación de estas vulnerabilidades los ataques denominados “ToolShell” ya han afectado a compañías privadas y entidades gubernamentales, afirma Cyberscoop. Si bien algunas compañías de ciberseguridad afirman que ya el 7 de julio se hay registros de explotación, el 18 y 19 de julio se intensificó la actividad en intentos de ataques que apuntaban a empresas de telecomunicaciones, agencias de gobierno y compañías de software.
Microsoft además recomienda a las organizaciones que verifiquen qué versión de SharePoint utilizan y si tiene soporte oficial para podes instalar los parches. Además, recomienda a los clientes que roten las “machine keys” de ASP.NET del servidor de SharePoint y reinicien IIS en todos los servidores de SharePoint.
“Como siempre, desde ESET recomendamos a los usuarios a mantener todos los sistemas debidamente actualizados, establecer contraseñas robustas o activar el doble factor de autenticación en los servicios que lo permitan, contar con una solución de seguridad instalada en todos los dispositivos y mantenerse informados sobre las últimas amenazas, de manera de tomar las medidas de prevención necesarias para el cuidado de nuestra información.”, concluye Gutiérrez Amaya de ESET.