Cien empresas ya han caído. El día cero de SharePoint está fuera de control

Hace un par de días escribimos sobre una vulnerabilidad crítica de día cero CVE-2025-53770 en Microsoft SharePoint Server, que representa una versión mejorada del fallo CVE-2025-49706. En ese momento se sabía que el problema estaba relacionado con la deserialización de datos no confiables, lo que permitía la ejecución de código arbitrario antes de la autenticación, y que los atacantes ya estaban utilizando activamente el exploit en una campaña que afectó a más de 85 servidores. Ahora la situación se ha agravado significativamente — el alcance de la campaña de hacking resultó ser mucho más amplio de lo que se pensaba.

Actualmente se ha confirmado la compromisión de al menos 100 organizaciones, incluidas corporaciones internacionales y agencias gubernamentales. Así lo informaron los representantes de la empresa Eye Security, que fue la primera en detectar rastros del ataque en uno de sus clientes, y también el proyecto sin fines de lucro Shadowserver Foundation, que realizó un escaneo masivo de redes. Sus datos indican una amplia propagación: las víctimas se encuentran principalmente en EE.UU. y Alemania, aunque la distribución geográfica es considerablemente más amplia.

El ataque explota una vulnerabilidad de día cero en instalaciones locales de SharePoint Server, permitiendo insertar un backdoor en la infraestructura y consolidar el acceso en la red de la víctima. Según Eye Security, tras la intrusión, los atacantes roban claves criptográficas —en particular MachineKey, responsable de validación y cifrado— y las utilizan para falsificar tráfico legítimo. Así, las solicitudes maliciosas son aceptadas como válidas por el sistema, y el ataque continúa incluso después de instalar las actualizaciones. Esto hace que las medidas de defensa estándar sean ineficaces.

En su informe, los especialistas destacan que el exploit se introduce antes de la autenticación, y que ya dentro del sistema se utilizan scripts de PowerShell y archivos ASPX maliciosos que extraen los parámetros necesarios desde la memoria. Este enfoque permite a los atacantes desplazarse rápidamente dentro de la red y ejecutar código arbitrario sin necesidad de comprometer el sistema repetidamente.

Según estimaciones de Shadowserver, hasta 9000 servidores SharePoint expuestos públicamente a Internet podrían estar en riesgo. Entre los posibles objetivos figuran empresas industriales, bancos, auditorías, instituciones médicas y organismos gubernamentales. Un representante de la empresa británica PwnDefend afirmó que la situación exige no solo la instalación de parches, sino una auditoría completa del sistema, ya que la sola presencia de la vulnerabilidad podría indicar una compromisión encubierta.

Microsoft confirmó la existencia de los ataques, anunció la publicación de actualizaciones y urgió a aplicarlas de inmediato. No obstante, la compañía advirtió que el uso exclusivo de parches estándar no garantiza la eliminación de la amenaza si los atacantes ya accedieron a datos críticos. Como medida temporal se propone habilitar Antimalware Scan Interface (AMSI), instalar Microsoft Defender y, en casos extremos, aislar los servidores de Internet.

Al mismo tiempo, especialistas de Eye Security y Palo Alto Networks siguen observando una cadena de ataques donde la CVE-2025-49706 se utiliza en combinación con la vulnerabilidad CVE-2025-49704. La combinación de estos exploits permite ejecutar comandos en el servidor con cambios mínimos en las solicitudes. Se descubrió que simplemente indicando en el encabezado Referer la ruta «_layouts/SignOut.aspx» convierte la CVE-2025-49706 en una versión completa de la CVE-2025-53770. Esta técnica es precisamente la que se está utilizando ahora en campañas a nivel mundial.

Aún se desconoce quién está detrás de estos ataques. Sin embargo, Google, que tiene acceso al tráfico global, vincula parte de la actividad con un grupo de hackers que opera desde China. Los representantes de la embajada china, como de costumbre, no comentaron estas acusaciones. Mientras tanto, el FBI y el Centro Nacional de Ciberseguridad del Reino Unido confirmaron que están monitoreando la situación y colaborando con socios públicos y privados para evaluar las consecuencias.

La situación actual exige que las organizaciones que utilizan SharePoint Server no solo instalen actualizaciones de inmediato, sino que también reevalúen su enfoque de seguridad. La simple aplicación de parches ya no es suficiente: si el sistema ha sido comprometido, se requiere una revisión profunda de la infraestructura y, en algunos casos, su aislamiento completo.