Una vulnerabilidad crítica de seguridad en Microsoft SharePoint Server se ha armado como parte de una campaña de explotación “activa a gran escalera”.
El defecto de día cero, rastreado como CVE-2025-53770 (Puntuación CVSS: 9.8), se ha descrito como una reforma de CVE-2025-49706 (puntaje CVSS: 6.3), un error de falsificación en Microsoft SharePoint Server que fue abordado por el hércules tecnológico como parte de sus actualizaciones de parche de julio de 2025 el martes.
“La deserialización de los datos no confiables en el servidor almacén de Microsoft SharePoint permite que un atacante no facultado ejecute código a través de una red”, dijo Microsoft en un aviso publicado el 19 de julio de 2025.
El fabricante de Windows señaló adicionalmente que se está preparando y probando completamente una modernización integral para resolver el problema. Acreditó a Viettel Cyber Security por descubrir e informar la descompostura a través de la iniciativa de Trend Micro’s Zero Day (ZDI).
En una alerta separada emitida el sábado, Redmond dijo que es consciente de los ataques activos dirigidos a clientes de SharePoint Server en los equipos, pero enfatizó que SharePoint Online en Microsoft 365 no se ve afectado.
En partida de un parche oficial, Microsoft insta a los clientes a configurar la integración de la interfaz de escaneo de antimalware (AMSI) en SharePoint e implementar el defensor AV en todos los servidores de SharePoint.
Vale la pena señalar que la integración de AMSI está habilitada de forma predeterminada en la modernización de seguridad de septiembre de 2023 para SharePoint Server 2016/2019 y la modernización de funciones de la lectura 23H2 para la tirada de suscripción de SharePoint Server.
Para aquellos que no pueden habilitar AMSI, se aconseja que el servidor de SharePoint esté desconectado de Internet hasta que esté arreglado una modernización de seguridad. Para una protección adicional, se recomienda a los usuarios implementar el defensor para el punto final para detectar y cerrar la actividad posterior a la explotación.
La divulgación se produce cuando la Pelotón de Networks de Seguridad Ojera y Palo Detención Advirtió sobre los ataques que encadenan CVE-2025-49706 y CVE-2025-49704 (puntaje CVSS: 8.8), una descompostura de inyección de código en SharePoint, para simplificar la ejecución del comando arbitrary en instancias susceptibles. La esclavitud de exploit ha sido con nombre en código de herramientas.
Pero hexaedro que CVE-2025-53770 es una “reforma” de CVE-2025-49706, se sospecha que estos ataques están relacionados.
La actividad maliciosa esencialmente implica la entrega de cargas efectos ASPX a través de PowerShell, que luego se utiliza para robar la configuración de la metralleta del servidor SharePoint, incluida la validationKey y DecryptionKey, para persistir el camino persistente.
La compañía de seguridad cibernética holandesa dijo que estas claves son cruciales para gestar cargas efectos válidas de __viewState, y que obtener camino a ellas convierte efectivamente cualquier solicitud de SharePoint autenticada en una oportunidad de ejecución de código remoto.
“Todavía estamos identificando olas de exploit masivas”, dijo el CTO de Seguridad visual Piet Kerkhofs a The Hacker News en un comunicado. “Esto tendrá un gran impacto a medida que los adversarios se muevan lateralmente utilizando esta ejecución de código remoto con velocidad”.
“Notificamos a casi 75 organizaciones que se violaron, ya que identificamos el caparazón web taimado en sus servidores de SharePoint. En este orden hay grandes empresas y grandes organismos gubernamentales en todo el mundo”.
Vale la pena señalar que Microsoft aún no ha actualizado sus avisos para CVE-2025-49706 y CVE-2025-49704 para reverberar la explotación activa. Además nos hemos comunicado con la empresa para obtener más aclaraciones, y actualizaremos la historia si recibimos noticiario.
(La historia se está desarrollando. Vuelve a consultar para obtener más detalles).
