AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Vulnerabilidades

Vulnerabilidades zero-day en Microsoft SharePoint: explotación activa y más de 85 servidores comprometidos

admin

Introducción

A mediados de julio de 2024, la comunidad de ciberseguridad ha sido testigo de una campaña de explotación activa dirigida a dos vulnerabilidades zero-day críticas en Microsoft SharePoint, identificadas como CVE-2025-53770 y CVE-2025-53771. Sin parches oficiales disponibles y con más de 85 servidores ya comprometidos a nivel global, la situación representa un riesgo significativo para organizaciones que dependen de este popular servicio de colaboración empresarial.

Contexto del Incidente

Microsoft SharePoint es una de las plataformas de colaboración y gestión documental más implantadas en entornos corporativos, con una cuota de mercado superior al 60% en grandes empresas según datos de 2023. El 18 de julio de 2024, diversos equipos de respuesta a incidentes y analistas SOC detectaron actividad anómala en servidores SharePoint expuestos a Internet, desencadenando una investigación que, apenas 48 horas después, culminó con la identificación de dos vulnerabilidades previamente desconocidas y su explotación activa por parte de atacantes.

Estas vulnerabilidades afectan tanto a implementaciones locales (on-premises) de SharePoint Server 2019 y 2022 como a algunas configuraciones híbridas conectadas a Microsoft 365. Los primeros compromisos se detectaron en infraestructuras de América del Norte y Europa, aunque actualmente se han reportado infecciones en Asia-Pacífico y América Latina, lo que sugiere una campaña global y coordinada.

Detalles Técnicos

Las vulnerabilidades CVE-2025-53770 y CVE-2025-53771 permiten la ejecución remota de código (RCE) no autenticada en servidores SharePoint vulnerables. Según la información recopilada por analistas de amenazas y confirmada por Microsoft, el vector de ataque principal reside en la manipulación maliciosa de endpoints REST de SharePoint expuestos públicamente, permitiendo a los atacantes evadir autenticación y ejecutar comandos arbitrarios con privilegios elevados.

– CVE-2025-53770: Se trata de un fallo en el manejo de peticiones multipart/form-data, donde una validación insuficiente de los datos permite la inyección de payloads ejecutables.
– CVE-2025-53771: Relacionada con la deserialización insegura de objetos, posibilita la explotación mediante el envío de objetos serializados manipulados que desencadenan la ejecución de código al ser procesados por el backend de SharePoint.

Tácticas, Técnicas y Procedimientos (TTP) observados (MITRE ATT&CK):

– Initial Access: Exploit Public-Facing Application (T1190)
– Execution: Command and Scripting Interpreter (T1059)
– Persistence: Web Shell (T1505.003)
– Defense Evasion: Masquerading (T1036) y Indicator Removal on Host (T1070)

Indicadores de Compromiso (IoC) identificados incluyen hashes de webshells personalizados, logs de acceso con patrones anómalos en los endpoints /_api/ y /_layouts/, y tráfico saliente hacia infraestructuras C2 alojadas en VPS de corta duración.

Hasta el momento, se han observado exploits funcionales en frameworks como Metasploit y Cobalt Strike, así como scripts personalizados en Python y PowerShell circulando en foros clandestinos.

Impacto y Riesgos

El impacto de estas vulnerabilidades es crítico. Permiten a un atacante tomar control total del servidor afectado, desplegar webshells, exfiltrar información sensible, pivotar hacia otras redes internas y, en algunos casos, cifrar o destruir datos críticos. La ausencia de parches oficiales incrementa el riesgo, especialmente en entornos donde SharePoint está expuesto directamente a Internet o se utiliza para la gestión de contenidos sensibles (contratos, datos personales, propiedad intelectual).

La campaña ha afectado ya a más de 85 servidores confirmados en sectores como finanzas, administración pública, ingeniería y educación. Según estimaciones preliminares, la exposición podría alcanzar a miles de organizaciones si la explotación se masifica antes de la publicación de parches.

Desde la perspectiva regulatoria, la explotación exitosa de estas vulnerabilidades puede acarrear notificaciones obligatorias bajo el RGPD y la Directiva NIS2, con potenciales sanciones económicas y daños reputacionales.

Medidas de Mitigación y Recomendaciones

A falta de parches oficiales, se recomienda:

– Limitar inmediatamente el acceso externo a servidores SharePoint, restringiendo la exposición a redes internas y VPN.
– Monitorizar logs de acceso y eventos del sistema en busca de patrones IoC conocidos (ver detalles técnicos).
– Desplegar reglas de firewall que bloqueen el tráfico hacia los endpoints REST utilizados en los exploits.
– Utilizar soluciones EDR/EDR para detectar actividades sospechosas de ejecución de scripts y webshells.
– Aplicar el principio de mínimo privilegio en las cuentas de servicio asociadas a SharePoint.
– Preparar planes de contingencia y respuesta ante incidentes, incluyendo copias de seguridad offline y procedimientos de restauración.

Opinión de Expertos

Especialistas de firmas como Mandiant y CrowdStrike advierten que la explotación generalizada de vulnerabilidades zero-day en portales colaborativos es coherente con las tendencias observadas en 2024, donde los grupos APT y ransomware-as-a-service buscan puntos de entrada en aplicaciones empresariales ampliamente desplegadas. La ausencia de parches incrementa el valor de estas vulnerabilidades en mercados clandestinos, y se espera la proliferación de exploits públicos en los próximos días.

Implicaciones para Empresas y Usuarios

Las organizaciones que dependen de SharePoint deben actuar proactivamente para reducir su superficie de ataque. Además de las medidas técnicas, la concienciación de usuarios y la revisión de procesos de gestión de vulnerabilidades son esenciales. La continuidad de negocio puede verse gravemente afectada por un compromiso de SharePoint, especialmente en sectores regulados o con alta dependencia documental.

Conclusiones

La explotación activa de los zero-day CVE-2025-53770 y CVE-2025-53771 en Microsoft SharePoint subraya la urgencia de reforzar la gestión de vulnerabilidades y limitar la exposición de servicios críticos. En ausencia de parches, la defensa por capas, la monitorización continua y la respuesta rápida ante incidentes son fundamentales para minimizar el impacto de esta amenaza emergente.

(Fuente: www.bleepingcomputer.com)