Ataques activos aprovechan vulnerabilidades críticas en Microsoft SharePoint (CVE-2025-53770 y CVE-2025-53771)
Introducción
En las últimas semanas, la comunidad de ciberseguridad ha detectado una oleada creciente de ataques dirigidos a servidores Microsoft SharePoint mediante la explotación activa de dos vulnerabilidades críticas: CVE-2025-53770 y CVE-2025-53771. Estos fallos de seguridad, actualmente bajo explotación activa, permiten a los atacantes tomar el control total de los sistemas afectados, poniendo en jaque la integridad de datos confidenciales y la continuidad operativa de organizaciones de todos los tamaños.
Contexto del Incidente
Microsoft SharePoint se ha consolidado como una plataforma clave para la colaboración empresarial y la gestión documental en entornos corporativos. Su amplia adopción en sectores públicos y privados lo convierte en un objetivo atractivo para los actores de amenazas. En mayo de 2025, Microsoft publicó parches de emergencia tras identificar la explotación activa de los CVE-2025-53770 y CVE-2025-53771, ambos clasificados con una puntuación de 9.8 en la escala CVSS v3.1 debido a la criticidad de su impacto y facilidad de explotación remota.
Diversos CERTs europeos y analistas de amenazas han reportado campañas automatizadas y dirigidas contra infraestructuras SharePoint desactualizadas. Los atacantes, en su mayoría asociados a grupos de ransomware y ciberespionaje, están aprovechando la ventana de exposición que se abre entre la publicación del parche y la aplicación efectiva de las actualizaciones por parte de los administradores.
Detalles Técnicos
CVE-2025-53770 describe una vulnerabilidad de ejecución remota de código (RCE) debida a una mala gestión de la deserialización de objetos en el componente SharePoint Foundation. Los atacantes pueden enviar peticiones HTTP manipuladas con cargas maliciosas, provocando la ejecución arbitraria de comandos con los privilegios del servicio SharePoint.
Por su parte, CVE-2025-53771 es un fallo de escalada de privilegios que, combinado con la explotación previa, permite a los atacantes adquirir privilegios de administrador o SYSTEM en el host comprometido. La explotación de ambas vulnerabilidades en cadena facilita el compromiso total del sistema.
Vectores de ataque:
– Explotación remota vía HTTP(S) sobre el puerto 80/443.
– Utilización de exploits públicos integrados en frameworks como Metasploit y Cobalt Strike.
– Automatización de ataques mediante scripts Python y PowerShell para escaneo masivo y explotación.
TTPs MITRE ATT&CK:
– Initial Access (T1190: Exploit Public-Facing Application)
– Privilege Escalation (T1068: Exploitation for Privilege Escalation)
– Persistence (T1053: Scheduled Task/Job)
– Lateral Movement (T1021: Remote Services)
Indicadores de Compromiso (IoC):
– Solicitudes HTTP anómalas con payloads de deserialización a /_layouts/15/targetendpoint.aspx
– Creación de cuentas administrativas no autorizadas
– Uso de procesos inusuales como w3wp.exe ejecutando comandos externos
– Persistencia vía tareas programadas o servicios sospechosos
Impacto y Riesgos
La explotación efectiva de estas vulnerabilidades puede derivar en la toma de control total del servidor SharePoint, permitiendo robo y exfiltración de información sensible, modificación o eliminación de documentos, y despliegue de ransomware o backdoors persistentes. Según estimaciones, más del 15% de las instancias SharePoint expuestas en Europa no han aplicado los parches críticos, lo que representa decenas de miles de sistemas vulnerables.
En términos económicos, los incidentes de este tipo pueden acarrear pérdidas superiores a los 500.000 euros por brecha, sin contar sanciones adicionales por incumplimiento de GDPR o NIS2, que pueden ascender hasta el 4% de la facturación global anual de la organización afectada.
Medidas de Mitigación y Recomendaciones
– Aplicar de inmediato los parches de seguridad correspondientes a CVE-2025-53770 y CVE-2025-53771 en todas las instancias de SharePoint (incluyendo SharePoint Server 2016, 2019 y SharePoint Subscription Edition).
– Auditar los logs de acceso y eventos en busca de los IoC citados.
– Implementar reglas de firewall para restringir el acceso externo a las interfaces administrativas de SharePoint.
– Desplegar soluciones EDR con capacidades de detección de comportamiento anómalo en servidores.
– Realizar pruebas de intrusión regulares y simulaciones red team enfocadas en aplicaciones web empresariales.
– Revisar los backups y procedimientos de recuperación ante incidentes para asegurar su integridad y disponibilidad.
Opinión de Expertos
Según Marta Lamas, analista sénior del CERT de España, “la explotación combinada de estas dos vulnerabilidades permite a los atacantes saltarse múltiples capas de defensa, lo que subraya la importancia de una gestión proactiva de parches y una monitorización continua de los sistemas expuestos”. Por su parte, investigadores de Kaspersky han detectado la integración de estos exploits en kits de herramientas utilizadas por grupos APT como FIN7 y TA505, lo que incrementa el riesgo de ataques dirigidos contra sectores críticos.
Implicaciones para Empresas y Usuarios
Las organizaciones deben considerar estos incidentes como un recordatorio urgente de la necesidad de mantener sus infraestructuras actualizadas y robustas frente a amenazas en constante evolución. La exposición de servidores SharePoint representa no solo un riesgo técnico, sino también un desafío legal y reputacional, especialmente bajo los marcos regulatorios actuales como GDPR y NIS2.
Conclusiones
La explotación activa de CVE-2025-53770 y CVE-2025-53771 en Microsoft SharePoint demuestra la rapidez con la que los actores de amenazas aprovechan nuevas vulnerabilidades para comprometer infraestructuras críticas. La respuesta inmediata, la gestión de vulnerabilidades y una estrategia de seguridad multicapa son esenciales para mitigar el impacto de estos ataques y proteger los activos empresariales.
(Fuente: www.kaspersky.com)