Nuevas vulnerabilidades críticas en Microsoft SharePoint bajo explotación activa: CVE-2025-49704 y CVE-2025-49706
Introducción
El 22 de julio de 2025, la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) incluyó dos vulnerabilidades críticas de Microsoft SharePoint —CVE-2025-49704 y CVE-2025-49706— en su catálogo de Vulnerabilidades Conocidas y Explotadas (KEV, por sus siglas en inglés). Esta decisión responde a la existencia de pruebas de explotación activa en entornos productivos, lo que ha encendido las alarmas entre los responsables de seguridad de infraestructuras críticas, administradores de sistemas y equipos de ciberseguridad de todo el mundo.
Contexto del incidente o vulnerabilidad
Microsoft SharePoint, una de las plataformas de colaboración empresarial más desplegadas, ha sido históricamente un objetivo prioritario para los actores de amenazas debido a la gran cantidad de información sensible que almacena y gestiona. Las vulnerabilidades recién divulgadas afectan tanto a SharePoint Server 2019 como a SharePoint Server Subscription Edition, en sus versiones previas al parche lanzado el 9 de julio de 2025. Su incorporación al catálogo KEV implica que están siendo aprovechadas activamente en campañas de ataque, lo que ha motivado a la CISA a emitir una orden de remediación urgente para todas las agencias federales estadounidenses (FCEB) antes del 23 de julio de 2025.
Detalles técnicos
Las vulnerabilidades CVE-2025-49704 y CVE-2025-49706 permiten a un atacante remoto ejecutar código arbitrario en los servidores afectados, sin necesidad de autenticación previa. Según el análisis de Microsoft y los informes de CISA, ambas fallas están relacionadas con fallos en la validación de autenticación y manejo de peticiones HTTP especialmente diseñadas.
– **CVE-2025-49704**: Permite ejecución remota de código (RCE) mediante el envío de una petición SOAP manipulada que el motor de SharePoint interpreta erróneamente, posibilitando la ejecución de comandos arbitrarios con los privilegios del servicio SharePoint.
– **CVE-2025-49706**: Facilita la escalada de privilegios a través de la explotación de un fallo en la gestión de tokens de autenticación, permitiendo a un atacante obtener acceso administrativo.
Ambas vulnerabilidades han sido catalogadas con una puntuación CVSS v3.1 superior a 9.0, considerándolas críticas. En las últimas semanas, analistas de amenazas han detectado la integración de exploits funcionales para estas CVE en frameworks ampliamente utilizados como Metasploit y Cobalt Strike, lo que facilita su explotación incluso por actores con capacidades técnicas intermedias. Según los informes de la comunidad, los atacantes están empleando técnicas de spear phishing para obtener acceso inicial y, posteriormente, explotan estos fallos para moverse lateralmente (TTPs MITRE ATT&CK T1210 y T1078).
Impacto y riesgos
La explotación de estas vulnerabilidades permite a los atacantes comprometer la confidencialidad, integridad y disponibilidad de la información corporativa. Los riesgos incluyen desde el robo de datos sensibles y credenciales hasta el despliegue de ransomware y la interrupción de servicios críticos. Se estima que más del 30% de las organizaciones que utilizan SharePoint aún no han aplicado los parches de seguridad debido a la complejidad de los entornos y la criticidad de la plataforma. En términos económicos, el impacto potencial se traduce en pérdidas multimillonarias por incidentes de fuga de datos, interrupciones operativas y sanciones regulatorias derivadas del incumplimiento de normativas como el RGPD y la Directiva NIS2.
Medidas de mitigación y recomendaciones
CISA exige la aplicación inmediata de los parches de seguridad publicados por Microsoft el 9 de julio de 2025. Se recomienda, además:
– Realizar un inventario exhaustivo de instancias de SharePoint expuestas y no actualizadas.
– Deshabilitar temporalmente el acceso externo a SharePoint hasta completar la actualización.
– Monitorizar los logs de acceso y las actividades sospechosas, prestando especial atención a los Indicadores de Compromiso (IoC) proporcionados por CISA y Microsoft.
– Implementar reglas de detección en SIEM basadas en patrones de explotación conocidos.
– Revisar y reforzar los controles de autenticación, especialmente en cuentas privilegiadas.
Opinión de expertos
Expertos de la industria, como los analistas de Mandiant y NCC Group, coinciden en que la ventana de exposición para estas vulnerabilidades es especialmente crítica debido a la amplia adopción de SharePoint en entornos corporativos y gubernamentales. “La rápida integración de exploits en herramientas automatizadas como Metasploit y la existencia de PoC públicos han acelerado la ola de ataques”, indica Marta Ruiz, CISO de una firma del IBEX 35. Además, señalan que la explotación de SharePoint suele ser el punto de partida para ataques más complejos de cadena de suministro y campañas de ransomware dirigidas.
Implicaciones para empresas y usuarios
La presión regulatoria y el impacto reputacional de un incidente derivado de la explotación de estas vulnerabilidades obligan a las organizaciones a priorizar la gestión de parches y la vigilancia proactiva. En el contexto europeo, la entrada en vigor de NIS2 y las exigencias del RGPD hacen que un compromiso de SharePoint pueda conllevar investigaciones regulatorias y sanciones severas. Asimismo, los equipos de seguridad deben actualizar sus estrategias de defensa en profundidad y preparar planes de respuesta ante incidentes que contemplen la explotación de SharePoint como vector inicial.
Conclusiones
La inclusión de CVE-2025-49704 y CVE-2025-49706 en el catálogo KEV de CISA subraya la urgencia y gravedad de estas vulnerabilidades en Microsoft SharePoint. La explotación activa en entornos reales exige una respuesta inmediata por parte de los equipos de ciberseguridad, tanto a nivel técnico como organizativo. Aplicar los parches, reforzar los controles y monitorizar activamente son medidas imprescindibles para mitigar el riesgo y cumplir con las obligaciones regulatorias en un contexto de amenaza creciente.
(Fuente: feeds.feedburner.com)