La recientemente revelada vulnerabilidad crítica de Microsoft SharePoint ha estado bajo explotación el 7 de julio de 2025, según los hallazgos de Check Point Research.
La compañía de ciberseguridad dijo que observó los primeros intentos de explotación dirigidos a un importante gobierno occidental no identificado, con la actividad que se intensifica el 18 y 19 de julio, que abarca el gobierno, las telecomunicaciones y los sectores de software en América del Norte y Europa occidental.
Check Point también dijo que los esfuerzos de explotación se originaron en tres direcciones IP diferentes: 104.238.159 (.) 149, 107.191.58 (.) 76 y 96.9.125 (.) 147-Uno de los cuales estaba vinculado previamente a la arma de las defectos de seguridad en las aplicaciones móviles de gerente de punto ivanti (EPMM) (CVE-2025-4427 y la arma de las fallas de seguridad en IVanti. CVE-2025-4428).
«Estamos presenciando una amenaza urgente y activa: un día cero crítico en SharePoint On-Prem está siendo explotado en la naturaleza, lo que pone en riesgo a miles de organizaciones globales», dijo Lotem Finkelstein, director de inteligencia de amenazas en Check Point Research, a The Hacker News.
«Nuestro equipo ha confirmado docenas de intentos de compromiso en los sectores del gobierno, telecomunicaciones y tecnológicos desde el 7 de julio. Instamos a las empresas a actualizar sus sistemas de seguridad de inmediato; esta campaña es sofisticada y rápida».
Se han observado que los cadenas de ataque apalancan CVE-2025-53770, una falla de ejecución de código remoto recién parcheado en SharePoint Server, y encadenándolo con CVE-2025-49706, una vulnerabilidad de falsificación que fue parcheada por Microsoft como parte de su actualización del martes de julio de 2025 el martes, para obtener acceso inicial y privilegios de escalado.
Vale la pena mencionar en esta etapa que hay dos conjuntos de vulnerabilidades en SharePoint que han salido a la luz este mes,
- CVE-2025-49704 (Puntuación CVSS: 8.8) – Vulnerabilidad de ejecución de código remoto de Microsoft SharePoint (fijado el 8 de julio de 2025)
- CVE-2025-49706 (Puntuación CVSS: 7.1) – Vulnerabilidad de falsificación de Microsoft SharePoint Server (fijado el 8 de julio de 2025)
- CVE-2025-53770 (Puntuación CVSS: 9.8) – Vulnerabilidad de ejecución de código remoto de Microsoft SharePoint Server
- CVE-2025-53771 (Puntuación CVSS: 7.1) – Vulnerabilidad de falsificación de Microsoft SharePoint Server
CVE-2025-49704 y CVE-2025-49706, denominado colectivamente la costa de herramientas, es una cadena de explotación que puede conducir a la ejecución de código remoto en las instancias del servidor de SharePoint. Fueron revelados originalmente por Viettel Cyber Security durante la competencia de piratería PWN2OWN 2025 a principios de mayo.
CVE-2025-53770 y CVE-2025-53771, que salió a la luz durante el fin de semana, se han descrito como variantes de CVE-2025-49704 y CVE-2025-49706, respectivamente, lo que indica que son derivados para las fijas originales establecidas por microsofts de microsoft más temprano este mes.
Esto se evidencia por el hecho de que Microsoft reconoció ataques activos que explotan «vulnerabilidades parcialmente abordadas por la actualización de seguridad de julio». La compañía también señaló en sus avisos que las actualizaciones para CVE-2025-53770 y CVE-2025-53771 incluyen «protecciones más sólidas» que las actualizaciones para CVE-2025-49704 y CVE-2025-49706. Sin embargo, lleva a señalar que CVE-2025-53771 no ha sido marcado por Redmond como explotado activamente en la naturaleza.
«CVE-2025-53770 explota una debilidad en cómo Microsoft SharePoint Server maneja la deserialización de los datos no confiables», dijo Martin Zugec, director de soluciones técnicas en Bitdefender. «Los atacantes están aprovechando este defecto para obtener la ejecución de código remoto no autenticado».
Esto, a su vez, se logra mediante la implementación de shells web de ASP.NET maliciosos que extraen medidas criptográficas confidenciales programáticas. Posteriormente, estas claves robadas se aprovechan para crear y firmar cargas útiles maliciosas de __viewState, estableciendo así un acceso persistente y permitiendo la ejecución de comandos arbitrarios en SharePoint Server.
Según la Telemetría de Bitdefender, se ha detectado la explotación en el flujo en los Estados Unidos, Canadá, Austria, Jordania, México, Alemania, Sudáfrica, Suiza y los Países Bajos, lo que sugiere un abuso generalizado de la falla.
Palo Alto Networks Unit 42, en su propio análisis de la campaña, dijo que observó los comandos que se ejecutan para ejecutar un comando PowerShell codificado Base64, que crea un archivo en la ubicación «C: Program ~ 1 Common ~ 1 Micros ~ 1 Webser ~ 1 16 Template Lights Spinstall0.aspx» y luego Parses su contenido.
«El archivo SpinStall0.aspx es un shell web que puede ejecutar varias funciones para recuperar validación Keys, DecryptionKeys y el CompatabilityMode del servidor, que son necesarios para forjar claves de cifrado ViewState», dijo la unidad 42 en un informe de amenaza.
 |
| Contenido de spinstall0.aspx |
En un aviso emitido el lunes, Sentinelone dijo que primero detectó la explotación el 17 de julio, con la compañía de seguridad cibernética identificando tres «grupos de ataque distintos», incluidos los actores de amenazas alineados por el estado, que participan en actividades de reclamo y explotación en etapa inicial.
Los objetivos de las campañas incluyen consultoría de tecnología, fabricación, infraestructura crítica y servicios profesionales vinculados a organizaciones de arquitectura e ingeniería sensibles.
«Los primeros objetivos sugieren que la actividad fue inicialmente cuidadosamente selectiva, dirigida a organizaciones con valor estratégico o acceso elevado», dijeron los investigadores Simon Kenin, Jim Walter y Tom Hegel.
El análisis de la actividad de ataque ha revelado el uso de un shell web ASPX protegido por contraseña («xxx.aspx») el 18 de julio de 2025 a las 9:58 am GMT. El shell web admite tres funciones: autenticación a través de un formulario integrado, ejecución de comandos a través de cmd.exe y la carga de archivos.
Se ha encontrado que los esfuerzos de explotación posteriores emplean el caparazón web «spinstall0.aspx» para extraer y exponer material criptográfico sensible del host.
Spinstall0.aspx «no es un comando tradicional webshell, sino más bien una utilidad de reconocimiento y persistencia», explicaron los investigadores. «Este código extrae e imprime los valores de la máquina de ames de máquina del host, incluidos los ajustes de validationKey, DecryptionKey y el modo criptográfico, información crítica para los atacantes que buscan mantener el acceso persistente en entornos de SharePoint de carga o forja tokens de autenticación».
A diferencia de otros proyectiles web que generalmente se caen en servidores expuestos a Internet para facilitar el acceso remoto, SpinStall0.aspx parece estar diseñado con la única intención de recopilar secretos criptográficos que luego podrían usarse para forjar autenticación o tokens de sesión en instancias de SharePoint.
Estos ataques, según CrowdStrike, comienzan con una solicitud de publicación HTTP especialmente elaborada a un servidor de SharePoint accesible que intenta escribir spinstall0.aspx a través de PowerShell, por crowdstrike. La compañía dijo que bloqueó cientos de intentos de explotación en más de 160 entornos de clientes.
Sentinelone también descubrió un clúster denominado «No Shell» que tomó un «enfoque más avanzado y sigiloso» a otros actores de amenazas al optar por la ejecución del módulo .NET en memoria sin dejar caer ninguna carga útil en el disco. La actividad se originó en la dirección IP 96.9.125 (.) 147.
«Este enfoque complica significativamente la detección y la recuperación forense, subrayando la amenaza planteada por las técnicas de explotación sin archivo», dijo la compañía, postulando que es un «ejercicio de emulación de equipo rojo calificado o el trabajo de un actor de amenaza capaz con un enfoque en el acceso evasivo y la cosecha de credenciales».
Actualmente no se sabe quién está detrás de la actividad de ataque, aunque Mandiant, propiedad de Google, ha atribuido la explotación temprana a un grupo de piratería alineado por China.
Los datos de Censys muestran que hay 9,762 servidores de SharePoint en línea en línea, aunque actualmente no se sabe si todos ellos son susceptibles a las fallas. Dado que los servidores de SharePoint son un objetivo lucrativo para los actores de amenaza debido a la naturaleza de los datos organizacionales confidenciales almacenados en ellos, es esencial que los usuarios se muevan rápidamente para aplicar las correcciones, rotar las claves y reiniciar las instancias.
«Evaluamos que al menos uno de los actores responsables de la explotación temprana es un actor de amenaza de China-Nexus», dijo Charles Carmakal, CTO, consultoría Mandiant en Google Cloud, en una publicación sobre LinkedIn. «Somos conscientes de las víctimas en varios sectores y geografías globales. La actividad implicó principalmente el robo del material clave de la máquina que podría usarse para acceder a entornos de víctimas después de que se haya aplicado el parche».
