La Agencia de Seguridad de Ciberseguridad e Infraestructura de EE. UU. (CISA), el 22 de julio de 2025, agregó dos fallas de Microsoft SharePoint, CVE-2025-49704 y CVE-2025-49706, a su catálogo de vulnerabilidades explotadas (KEV) conocidas, basadas en la evidencia de la explotación activa.
Con ese fin, las agencias federales de rama ejecutiva civil (FCEB) deben remediar las vulnerabilidades identificadas antes del 23 de julio de 2025.
«CISA es consciente de la explotación activa de una cadena de vulnerabilidad de suplantación y RCE que involucra CVE-2025-49706 y CVE-2025-49704, lo que permite el acceso no autorizado a los servidores de SharePoint locales», dijo la agencia en un asesor actualizado.
La inclusión de las dos deficiencias, una vulnerabilidad de falsificación y una vulnerabilidad de ejecución de código remoto rastreada colectivamente como cáscara de herramientas, para el catálogo de KEV viene después de que Microsoft reveló que grupos de piratería chinos como el tifón de lino y el tifón Violet aprovecharon estas fallas para infringir los servidores de las SharePoepoint en las principales salentes desde el 7 de julio de 2025.
Al momento de escribir, los propios asesoramiento del gigante tecnológico solo enumeran CVE-2025-53770 como explotado en la naturaleza. Además, describe los cuatro fallas como a continuación –
- CVE-2025-49704-Ejecución de código remoto de SharePoint
- CVE-2025-49706-Ejecución de código remoto de SharePoint Post-Auth
- CVE-2025-53770-Bypass de autenticación de SharePoint Toolshell y ejecución de código remoto
- CVE-2025-53771-Traversal de SharePoint Toolshell Rath
El hecho de que CVE-2025-53770 sea un bypass de autenticación y un error de ejecución de código remoto indica que CVE-2025-53771 no es necesario para construir la cadena de explotación. Se evalúa que CVE-2025-53770 y CVE-2025-53771 son derivados de parche para CVE-2025-49704 y CVE-2025-49706, respectivamente.
«La causa raíz (de CVE-2025-53770) es una combinación de dos errores: un bypass de autenticación (CVE-2025-49706) y una vulnerabilidad de deserialización insegura (CVE-2025-49704)», dijo el grupo de inteligencia de seguridad Akamai.
Cuando se contactó para hacer comentarios sobre el estado de explotación de CVE-2025-53771 y otros fallas, un portavoz de Microsoft le dijo a The Hacker News que la información publicada en sus avisos es correcta «en el momento de la publicación original» y que no suele actualizar después de la liberación.
«Microsoft también ayuda a CISA con el catálogo de vulnerabilidades explotados conocidos que proporciona información actualizada regularmente sobre vulnerabilidades explotadas», agregó el portavoz.
El desarrollo se produce cuando WatchTowr Labs dijo a la publicación que ha ideado internamente un método que explota CVE-2025-53770 de modo que evita la interfaz de escaneo de antimalware (AMSI), un paso de mitigación descrito por Microsoft para evitar ataques no autenticados.
«Esto nos ha permitido continuar identificando sistemas vulnerables incluso después de que se hayan aplicado mitigaciones como AMSI», dijo el CEO de WatchTowr, Benjamin Harris. «Amsi nunca fue una bala de plata, y este resultado fue inevitable. Pero nos preocupa saber que algunas organizaciones eligen ‘habilitar a Amsi’ en lugar de parchear. Esta es una muy mala idea».
«Ahora que la explotación se ha relacionado con los actores de estado-nación, sería ingenuo pensar que podrían aprovechar un día cero de SharePoint, pero de alguna manera no pasar por alto. Las organizaciones deben parchear. Deben decir que todos los POC públicos se activarán a AMSI, y las organizaciones engañan a creer que las mitigaciones son comprensivas/El anfitrión no es vulnerable. Esto sería incorrecto». «
