**Ataques ToolShell: Microsoft publica parches de emergencia para dos zero-day críticos en SharePoint**
—
### 1. Introducción
El ecosistema empresarial global enfrenta una nueva amenaza crítica tras la detección de dos vulnerabilidades zero-day en Microsoft SharePoint, identificadas como CVE-2025-53770 y CVE-2025-53771. Según ha confirmado Microsoft y diversos equipos de respuesta a incidentes, estos fallos han sido explotados activamente en ataques ToolShell, comprometiendo infraestructuras de organizaciones a nivel mundial. La gravedad del incidente ha llevado a Microsoft a publicar de forma urgente actualizaciones de seguridad fuera de su ciclo habitual.
—
### 2. Contexto del Incidente o Vulnerabilidad
SharePoint es una de las plataformas colaborativas más implantadas en entornos empresariales, empleada para la gestión documental, intranets y flujos de trabajo críticos. La explotación de vulnerabilidades en este entorno tiene un impacto directo en la confidencialidad e integridad de los datos corporativos. El descubrimiento de estos zero-day se produce tras una oleada de ataques coordinados, donde actores maliciosos han utilizado la herramienta ToolShell para tomar control de servidores SharePoint no actualizados.
El incidente afecta tanto a infraestructuras locales (SharePoint Server 2016, 2019 y 2022) como a despliegues híbridos, incrementando el riesgo para organizaciones que aún mantienen entornos on-premises.
—
### 3. Detalles Técnicos
#### Identificadores y descripción
– **CVE-2025-53770**: Permite ejecución remota de código (RCE) sin autenticación previa, explotando una falla en el procesamiento de peticiones SOAP.
– **CVE-2025-53771**: Facilita la elevación de privilegios a través de la manipulación de tokens de acceso en sesiones SharePoint activas.
Ambas vulnerabilidades han sido clasificadas con una puntuación CVSS superior a 9.0, considerándose críticas.
#### Vectores de ataque y TTP
Los atacantes han empleado técnicas identificadas en el framework MITRE ATT&CK, principalmente:
– **Initial Access [T1190]:** Explotación de aplicaciones públicas (SharePoint expuesto a Internet).
– **Execution [T1059]:** Uso de ToolShell y scripts PowerShell para persistencia y ejecución de payloads.
– **Persistence [T1547]:** Modificación de tareas programadas y servicios en el host comprometido.
– **Defense Evasion [T1140]:** Ofuscación de scripts y uso de proxies internos.
#### IoC y tooling
La campaña ToolShell utiliza módulos personalizados, detectados en variantes de Cobalt Strike y Metasploit, para el despliegue de puertas traseras y movimiento lateral. Se han identificado IoC como:
– Hashes de ejecutables ToolShell.
– Direcciones IP de C2 en Asia y Europa del Este.
– Logs de acceso anómalos a endpoints `/sites/` y `/_vti_bin/`.
—
### 4. Impacto y Riesgos
El alcance de estos ataques es significativo:
– **Empresas afectadas:** Estimaciones preliminares apuntan a más de 2.500 organizaciones comprometidas desde abril de 2024.
– **Sectores críticos:** Finanzas, energía, sector público y sanidad (sin contexto hospitalario), así como administraciones sujetas a NIS2.
– **Datos expuestos:** Acceso no autorizado a documentos internos, credenciales y bases de datos sensibles.
El compromiso de SharePoint otorga a los atacantes una posición privilegiada para el despliegue de ransomware, exfiltración de información y ataques de cadena de suministro.
—
### 5. Medidas de Mitigación y Recomendaciones
Microsoft ha publicado parches fuera de ciclo para SharePoint Server 2016, 2019 y 2022 (KB5034532, KB5034533 y KB5034534, respectivamente). Se recomienda:
– **Aplicar los parches de seguridad de inmediato** en todos los entornos afectados.
– **Deshabilitar la exposición pública** de instancias SharePoint, restringiendo el acceso por VPN o segmentación de red.
– Monitorizar logs de acceso y eventos anómalos en los directorios `/sites/`, `/layouts/`, y `/admin/`.
– Emplear EDR actualizado para la detección de ToolShell, Cobalt Strike y artefactos relacionados.
– Revisar la configuración de privilegios y políticas de acceso (principio de mínimo privilegio).
– Realizar análisis forense en sistemas potencialmente comprometidos y rotación de credenciales.
—
### 6. Opinión de Expertos
Especialistas en ciberseguridad, como la consultora NCC Group y analistas del SANS Institute, subrayan la peligrosidad del vector RCE sin autenticación en entornos colaborativos de alta criticidad. Recomiendan actuar con máxima celeridad, ya que el window of exposure sigue abierto mientras existan sistemas sin parchear. Así mismo, recuerdan la obligación de notificar brechas bajo GDPR y, para operadores de servicios esenciales y digitales, bajo NIS2.
—
### 7. Implicaciones para Empresas y Usuarios
El incidente evidencia la necesidad de una gestión proactiva de vulnerabilidades y una política de hardening en plataformas colaborativas. Para los CISOs y responsables de seguridad, la rápida aplicación de parches y la revisión de los controles de acceso son medidas imprescindibles para limitar el impacto. Las empresas deben revisar sus procedimientos de respuesta a incidentes y plan de continuidad de negocio, así como reforzar la formación interna sobre amenazas persistentes avanzadas (APT).
A nivel de usuario, se recomienda extremar la precaución ante correos y enlaces sospechosos, y reportar cualquier comportamiento anómalo detectado en SharePoint.
—
### 8. Conclusiones
La explotación activa de los zero-day CVE-2025-53770 y CVE-2025-53771 en Microsoft SharePoint, combinada con el uso de ToolShell, representa una amenaza grave para la seguridad corporativa mundial. La reacción inmediata de Microsoft y la comunidad de ciberseguridad ha sido clave para la contención inicial, pero la superficie de ataque sigue siendo amplia. La actualización urgente, la segmentación de servicios y la monitorización activa se imponen como mejores prácticas de respuesta ante este tipo de incidentes, cuya recurrencia va en aumento ante el auge de campañas APT dirigidas a infraestructuras críticas.
(Fuente: www.bleepingcomputer.com)