AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Vulnerabilidades

Explotación masiva del zero-day CVE-2025-53770 en Microsoft SharePoint Server pone en jaque a empresas

admin

Introducción

En las últimas horas, la comunidad de ciberseguridad ha sido testigo de una oleada de ataques dirigidos contra infraestructuras que emplean Microsoft SharePoint Server. Un exploit de día cero, identificado como CVE-2025-53770 y con una puntuación CVSS de 9.8, está siendo activamente explotado en una campaña a gran escala, afectando a organizaciones de distintos sectores. La naturaleza crítica de esta vulnerabilidad y su relación con el reciente CVE-2025-49704 han provocado una respuesta urgente tanto de los equipos de seguridad como de los propios desarrolladores de Microsoft.

Contexto del Incidente o Vulnerabilidad

SharePoint Server es una de las plataformas colaborativas empresariales más utilizadas a nivel global, desplegada en miles de organizaciones que gestionan información sensible, documentos y flujos de trabajo críticos. Durante el último mes, analistas de amenazas y equipos de respuesta a incidentes han detectado un repunte en los intentos de explotación de SharePoint. Las primeras señales apuntaban a variantes de fallos previamente parcheados, pero la aparición y posterior weaponización de CVE-2025-53770 ha escalado la situación.

Esta vulnerabilidad es una evolución del CVE-2025-49704 (CVSS 8.8), un fallo de inyección de código y ejecución remota que Microsoft parcheó recientemente. Sin embargo, actores de amenazas han sido capaces de modificar los vectores de ataque, desarrollando exploits funcionales para este nuevo zero-day antes de que exista un parche oficial, lo que ha facilitado su explotación a escala global.

Detalles Técnicos

El CVE-2025-53770 afecta a las versiones de Microsoft SharePoint Server 2019 y 2022, en sus ediciones Standard y Enterprise, y permite la ejecución remota de código arbitrario (RCE) bajo el contexto del proceso del servidor afectado. El exploit aprovecha una debilidad en la validación de entradas en los componentes de gestión de workflows, permitiendo a un atacante autenticado, o incluso en algunos casos anónimo si la instancia no está correctamente configurada, inyectar payloads maliciosos que se ejecutan en el entorno del servidor.

Los TTPs (Tácticas, Técnicas y Procedimientos) observados se alinean con las técnicas MITRE ATT&CK T1190 (Exploitation of Remote Services), T1059 (Command and Scripting Interpreter), y T1210 (Exploitation of Remote Services). Los adversarios emplean scripts automatizados que identifican instancias vulnerables expuestas en Internet, y utilizan frameworks como Metasploit y Cobalt Strike para desplegar cargas útiles adicionales, como webshells o backdoors personalizados.

Los Indicadores de Compromiso (IoC) incluyen la presencia de archivos aspx no autorizados en los directorios de SharePoint, conexiones inusuales hacia direcciones IP externas desde los procesos w3wp.exe, y la presencia de cuentas de servicio recientemente creadas o modificadas. Además, se han detectado variantes de exploits disponibles en foros de hacking y mercados de la dark web, lo que acelera la propagación de la amenaza.

Impacto y Riesgos

La explotación exitosa del CVE-2025-53770 puede derivar en la toma de control total de los servidores SharePoint afectados, permitiendo el robo o manipulación de información confidencial, el despliegue de ransomware o el movimiento lateral dentro de redes corporativas. Según estimaciones de la firma de seguridad Rapid7, más del 35% de las instancias SharePoint expuestas en Internet siguen siendo vulnerables, lo que representa potencialmente miles de organizaciones en riesgo.

El impacto económico es considerable: se estima que una brecha masiva podría generar pérdidas superiores a los 50 millones de euros en costes asociados a la recuperación, interrupción de servicios y sanciones regulatorias, especialmente bajo el marco de GDPR y la inminente entrada en vigor de NIS2, que endurece las obligaciones de notificación y mitigación de incidentes.

Medidas de Mitigación y Recomendaciones

Microsoft aún no ha publicado un parche oficial para CVE-2025-53770, pero recomienda aplicar medidas temporales de mitigación, como deshabilitar temporalmente los flujos de trabajo personalizados y restringir el acceso externo a los servidores SharePoint. Se aconseja monitorizar exhaustivamente los logs de IIS y SharePoint, buscar IoCs conocidos y emplear soluciones EDR para detectar actividad anómala.

Es fundamental que los equipos de seguridad actualicen sus firmas de IPS/IDS y bloqueen patrones de tráfico relacionados con exploits públicos. Asimismo, se recomienda revisar la configuración de autenticación y reforzar el uso de MFA para acceso administrativo. En organizaciones críticas, la segmentación de red y la aplicación de políticas de mínima exposición son imprescindibles.

Opinión de Expertos

Especialistas en ciberseguridad como Kevin Beaumont y miembros del CERT-EU han alertado sobre la sofisticación de los ataques, subrayando que la explotación automatizada está reduciendo significativamente el tiempo de exposición. “Estamos ante una campaña coordinada, con herramientas que facilitan tanto la explotación como la persistencia en los sistemas comprometidos”, señalan desde Mandiant. Recomiendan priorizar la respuesta proactiva y la colaboración con equipos de threat intelligence.

Implicaciones para Empresas y Usuarios

Para las empresas, el incidente recalca la necesidad de una gestión de vulnerabilidades ágil y la importancia de la comunicación temprana de incidentes a las autoridades, en línea con GDPR y NIS2. Los usuarios deben ser conscientes del potencial impacto de la fuga de información personal y de negocio, y las organizaciones deben fortalecer tanto sus controles técnicos como sus procedimientos de respuesta a incidentes.

Conclusiones

La weaponización de CVE-2025-53770 representa una amenaza crítica y real para las infraestructuras empresariales basadas en Microsoft SharePoint Server. Hasta que Microsoft publique el parche oficial, la vigilancia, la aplicación de medidas de mitigación y la colaboración entre equipos de seguridad serán claves para contener la ola de ataques y minimizar el impacto en el tejido empresarial europeo.

(Fuente: feeds.feedburner.com)