Aviso de amenaza de ciberseguridad: vulnerabilidad de día cero en Microsoft SharePoint

Los atacantes están explotando activamente CVE-2025-53770, una vulnerabilidad crítica de día cero en Microsoft SharePoint, para ejecutar código remoto sin autenticación. Esta falla permite a los atacantes desplegar malware persistente y potencialmente exfiltrar datos sensibles de entornos locales no parcheados. Revise los detalles completos en este Cybersecurity Threat Advisory para ayudar a prevenir la explotación en su entorno.

¿Cuál es la amenaza?

CVE-2025-53770 es una vulnerabilidad de día cero recién descubierta que afecta a los servidores locales de Microsoft SharePoint, ampliamente utilizados para la colaboración interna y el intercambio de archivos. Esta falla está clasificada como una vulnerabilidad de RCE, lo que permite a los atacantes ejecutar código malicioso en los servidores afectados, sin necesidad de autenticación o acceso especial.

Los servidores de SharePoint a menudo se vuelven vulnerables debido a parches faltantes, configuraciones erróneas críticas o servicios expuestos a internet. Como un día cero, este exploit fue utilizado activamente en el entorno antes de que Microsoft lanzara una solución, dejando muchos sistemas temporalmente expuestos.

Los atacantes aprovechan la vulnerabilidad enviando solicitudes HTTP especialmente diseñadas a servidores vulnerables, engañándolos para que ejecuten código arbitrario. Esto puede resultar en la instalación de puertas traseras, exfiltración de datos o movimiento lateral a través de la red.

Los indicadores de compromiso incluyen:

• Un web shell malicioso spinstall0.aspx en el directorio de Layouts de SharePoint
• Solicitudes POST inusuales a ToolPane.aspx
• Procesos de trabajo de IIS (w3wp.exe) que generan procesos de PowerShell o cmd
• Uso elevado de la CPU
• Tráfico de red saliente sospechoso

¿Por qué es digno de mención?

Esta vulnerabilidad está siendo explotada activamente en una campaña global de ciberespionaje, afectando a más de 100 organizaciones. Tras una explotación exitosa, los atacantes pueden robar claves criptográficas, obtener acceso persistente y eludir los controles de seguridad tradicionales, todo sin ser detectados.

Aunque Microsoft ha lanzado parches, muchas organizaciones siguen siendo vulnerables debido al retraso en la aplicación de parches o a la mitigación incompleta. Microsoft parchó las vulnerabilidades relacionadas — CVE-2025-49706 y CVE-2025-49704 — a principios de este mes. Sin embargo, los atacantes ya han desarrollado soluciones alternativas, lo que destaca la rapidez y sofisticación de los actores de amenazas actuales.

Incluso las organizaciones que no utilizan SharePoint directamente están en riesgo. Los servidores de SharePoint comprometidos pueden actuar como plataformas de lanzamiento para ataques a la cadena de suministro, potencialmente afectando a socios, proveedores y clientes, y amplificando la amenaza a través de los ecosistemas.

¿Cuál es la exposición o el riesgo?

Si se explota, CVE-2025-53770 permite a los atacantes obtener acceso remoto no autorizado, ejecutar código malicioso, robar datos sensibles y potencialmente interrumpir operaciones comerciales críticas. Las consecuencias van más allá de la vulneración técnica. Las víctimas pueden enfrentar escrutinio regulatorio y multas, responsabilidad legal, daño a la marca y reputación, tiempo de inactividad operativo y esfuerzos de respuesta y recuperación ante incidentes.

Un servidor de SharePoint vulnerado también puede ser aprovechado para una intrusión adicional en la red, aumentando el riesgo de ransomware, espionaje o robo de propiedad intelectual. Estos efectos en cascada hacen que la detección y mitigación rápidas sean cruciales.

¿Cuáles son las recomendaciones?

Barracuda recomienda las siguientes acciones para protegerse contra esta amenaza:

• Aplique las siguientes actualizaciones de emergencia para Microsoft SharePoint:
  • La actualización KB5002754 para Microsoft SharePoint Server 2019 Core y KB5002753 para el paquete de idioma de Microsoft SharePoint Server 2019.
  • La actualización KB5002760 para Microsoft SharePoint Enterprise Server 2016 y KB5002759 para el Paquete de Idiomas de Microsoft SharePoint Enterprise Server 2016.
  • La actualización KB5002768 para Microsoft SharePoint Subscription Edition.
• Gire las claves de máquina de SharePoint después de la actualización:
  • Manualmente a través de PowerShell: Para actualizar las claves de máquina para una aplicación web utilizando PowerShell y desplegarlas en una granja de SharePoint:
    • Genere la clave de máquina en PowerShell utilizando Set-SPMachineKey -WebApplication <SPWebApplicationPipeBind>.
    • Implemente la clave de la máquina en la granja en PowerShell usando Update-SPMachineKey -WebApplication <SPWebApplicationPipeBind>.
  • Manualmente a través del administrador central: Inicie el trabajo del temporizador de rotación de la clave de máquina realizando los siguientes pasos:
    • Navegue al sitio de Central Administration.
    • Ve a Monitoring -> Review job definition.
    • Buscar Machine Key Rotation Job y seleccionar Run Now.
    • Después de que la rotación haya finalizado, reinicie IIS en todos los servidores de SharePoint usando iisreset.exe.
• Analizar los registros y el sistema de archivos en busca de la presencia de archivos maliciosos o intentos de explotación, incluyendo
  • Creación del archivo C:\PROGRA~1\COMMON~1\MICROS~1\WEBSER~1\16\TEMPLATE\LAYOUTS\spinstall0.aspx.
  • Registros de IIS que muestran una solicitud POST a _layouts/15/ToolPane.aspx?DisplayMode=Edit&a=/ToolPane.aspx y un HTTP referer de _layouts/SignOut.aspx.
  • Ejecute la siguiente consulta de Microsoft 365 Defender para verificar si el archivo spinstall0.aspx fue creado en su servidor.
    • eviceFileEvents
    • | donde FolderPath tiene “MICROS~1\\WEBSER~1\\16\\TEMPLATE\\LAYOUTS”
    • donde FileName =~ “spinstall0.aspx”
    • FileName tiene “spinstall0”
    • | project Marca de tiempo, Nombre del dispositivo, Nombre del archivo del proceso de inicio, Línea de comandos del proceso de inicio, Nombre del archivo, Ruta de la carpeta, ID del informe, Tipo de acción, SHA256
    • | ordenar por Timestamp desc
• Restringe la exposición a internet de los servidores de SharePoint siempre que sea posible. Utiliza firewalls, VPNs o controles de acceso de confianza cero para limitar el acceso solo a usuarios y redes de confianza.
• Habilita el registro detallado y supervisa la actividad del servidor de SharePoint en busca de comportamientos inusuales, como cargas de archivos inesperadas o cambios y conexiones desde direcciones IP desconocidas.
• Aislar los servidores de SharePoint de otros sistemas internos críticos para reducir el riesgo de movimiento lateral si un atacante obtiene acceso.
• Concienciar sobre esta vulnerabilidad y reforzar las mejores prácticas para aplicar parches y mantener configuraciones seguras.

Referencias

Para obtener información más detallada sobre las recomendaciones, visite los siguientes enlaces:

• https://www.bleepingcomputer.com/news/microsoft/microsoft-sharepoint-zero-day-exploited-in-rce-attacks-no-patch-available/
• https://www.reuters.com/sustainability/boards-policy-regulation/microsoft-server-hack-hit-about-100-organizations-researchers-say-2025-07-21/
• ```xml Cloud Securityseguridad en la nube ```
• https://www.picussecurity.com/resource/blog/cve-2025-53770-critical-unauthenticated-rce-in-microsoft-sharepoint