Una vulnerabilidad crítica de seguridad en Microsoft SharePoint Server se ha armado como parte de una campaña de explotación «activa a gran escala».
El defecto de día cero, rastreado como CVE-2025-53770 (Puntuación CVSS: 9.8), se ha descrito como una variante de CVE-2025-49706 (puntaje CVSS: 6.3), un error de falsificación en Microsoft SharePoint Server que fue abordado por el gigante tecnológico como parte de sus actualizaciones de parche de julio de 2025 el martes.
«La deserialización de los datos no confiables en el servidor local de Microsoft SharePoint permite que un atacante no autorizado ejecute código a través de una red», dijo Microsoft en un aviso publicado el 19 de julio de 2025.
El fabricante de Windows señaló además que se está preparando y probando completamente una actualización integral para resolver el problema. Acreditó a Viettel Cyber Security por descubrir e informar la falla a través de la iniciativa de Trend Micro’s Zero Day (ZDI).
En una alerta separada emitida el sábado, Redmond dijo que es consciente de los ataques activos dirigidos a clientes de SharePoint Server en los equipos, pero enfatizó que SharePoint Online en Microsoft 365 no se ve afectado.
En ausencia de un parche oficial, Microsoft insta a los clientes a configurar la integración de la interfaz de escaneo de antimalware (AMSI) en SharePoint e implementar el defensor AV en todos los servidores de SharePoint.
Vale la pena señalar que la integración de AMSI está habilitada de forma predeterminada en la actualización de seguridad de septiembre de 2023 para SharePoint Server 2016/2019 y la actualización de funciones de la versión 23H2 para la edición de suscripción de SharePoint Server.
Para aquellos que no pueden habilitar AMSI, se aconseja que el servidor de SharePoint esté desconectado de Internet hasta que esté disponible una actualización de seguridad. Para una protección adicional, se recomienda a los usuarios implementar el defensor para el punto final para detectar y bloquear la actividad posterior a la explotación.
La divulgación se produce cuando la Unidad de Networks de Seguridad Ojera y Palo Alto Advirtió sobre los ataques que encadenan CVE-2025-49706 y CVE-2025-49704 (puntaje CVSS: 8.8), una falla de inyección de código en SharePoint, para facilitar la ejecución del comando arbitrary en instancias susceptibles. La cadena de exploit ha sido con nombre en código de herramientas.
Pero dado que CVE-2025-53770 es una «variante» de CVE-2025-49706, se sospecha que estos ataques están relacionados.
Eye Security dijo que los ataques a gran escala que identificó el apalancamiento CVE-2025-49706 para publicar una carga útil de ejecución de código remoto explotando CVE-2025-49704. «Creemos que el hallazgo que agregar» _Layouts/SignOut.aspx «como referente HTTP hace CVE-2025-49706 en CVE-2025-53770», dijo.
Vale la pena mencionar aquí que el ZDI ha caracterizado a CVE-2025-49706 como una vulnerabilidad de derivación de la autenticación que se deriva de cómo la aplicación maneja el encabezado de referente HTTP proporcionado al punto final Toolpane («/_layouts/15/toolpane.aspx»).
La actividad maliciosa esencialmente implica la entrega de cargas útiles ASPX a través de PowerShell, que luego se utiliza para robar la configuración de la ametralladora del servidor SharePoint, incluida la validationKey y DecryptionKey, para mantener el acceso persistente.
La compañía de seguridad cibernética holandesa dijo que estas claves son cruciales para generar cargas útiles válidas de __viewState, y que obtener acceso a ellas convierte efectivamente cualquier solicitud de SharePoint autenticada en una oportunidad de ejecución de código remoto.
«Todavía estamos identificando olas de exploit masivas», dijo el CTO de Seguridad ocular Piet Kerkhofs a The Hacker News en un comunicado. «Esto tendrá un gran impacto a medida que los adversarios se muevan lateralmente utilizando esta ejecución de código remoto con velocidad».
Más de 85 servidores de SharePoint a nivel mundial se han identificado como comprometidos con el shell web malicioso a partir de la escritura. Estos servidores pirateados pertenecen a 29 organizaciones, incluidas empresas multinacionales y entidades gubernamentales.
Vale la pena señalar que Microsoft aún no ha actualizado sus avisos para CVE-2025-49706 y CVE-2025-49704 para reflejar la explotación activa. También nos hemos comunicado con la empresa para obtener más aclaraciones, y actualizaremos la historia si recibimos noticias.
(La historia se está desarrollando. Vuelve a consultar para obtener más detalles).
