Microsoft no llegó a tiempo: se utilizó un exploit de SharePoint antes del parche

Microsoft reconoció que las actualizaciones de seguridad de julio no corrigieron todas las vulnerabilidades en las versiones locales de SharePoint que permiten la ejecución remota de código. Como resultado, los ataques continúan, y los expertos creen que hubo una filtración no autorizada de información sobre el exploit antes del lanzamiento del parche.

La incógnita es cómo los atacantes —incluidos hackers chinos, espías cibernéticos y operadores de ransomware— supieron cómo explotar la vulnerabilidad de manera que eluden incluso el parche publicado al día siguiente.

“Hubo una filtración en alguna parte”, dijo en entrevista con The Register Dustin Childs, jefe de análisis de amenazas en Zero Day Initiative (ZDI) de Trend Micro. “Ahora circula en la naturaleza un exploit de día cero —y lo que es peor, uno que esquiva el parche lanzado al día siguiente”.

Todo comenzó en mayo en el concurso Pwn2Own en Berlín, organizado por ZDI. El 16 de mayo, el investigador vietnamita Dinh Ho Anh Khoa presentó un exploit para Microsoft SharePoint combinando una vulnerabilidad de omisión de autenticación con un fallo de deserialización insegura. Recibió $100.000 por su presentación. Sin embargo, la demostración en el escenario es solo una parte del proceso. Después, el investigador y representantes de la empresa se reúnen en privado, donde se entrega la descripción técnica detallada. Si el fallo es único, Microsoft tiene 90 días para publicar el parche.

Microsoft recibió el informe completo el mismo día de la presentación, según Childs. Sin embargo, la explotación masiva comenzó el 7 de julio, mientras que el CVE fue revelado oficialmente solo el 8 de julio. Se publicaron dos vulnerabilidades: CVE-2025-49704 (ejecución remota de código sin autenticación) y CVE-2025-49706 (suplantación de datos). Las actualizaciones se emitieron al mismo tiempo, pero ya después del inicio de los ataques.

Los plazos cumplían la política de divulgación coordinada —60 días desde la entrega del informe— pero, según Childs, la filtración cambió todo: “lo que falló fue que hubo una filtración”.

Una posible explicación es el compromiso del programa Microsoft Active Protections Program (MAPP). Microsoft otorga a sus socios —bajo NDA— acceso anticipado a información sobre parches con 14 días de antelación (el llamado r-14). En julio, esa fecha fue el 24 de junio. Los ataques comenzaron el 7 de julio y el parche se lanzó el 8, pero como se descubrió más tarde, podía ser fácilmente eludido.

Según Childs, cualquiera con acceso a la información sobre el CVE dentro de MAPP podría haber notado que el parche no cubría completamente la vulnerabilidad. Los expertos de ZDI confirmaron que el bypass de autenticación fue abordado de forma demasiado limitada.

El 18 de julio, la empresa Eye Security publicó un análisis de ataques a gran escala usando esta nueva cadena de vulnerabilidades en SharePoint. El 19 de julio, Microsoft lanzó una advertencia urgente sobre la existencia de un día cero en tres versiones de SharePoint, reconociendo que los parches anteriores no eran efectivos.

El 21 de julio, la empresa lanzó actualizaciones adicionales, incluidas para SharePoint 2016. Pero para entonces, según Microsoft, más de 400 organizaciones ya habían sido atacadas. Al menos dos grupos chinos —Linen Typhoon y Violet Typhoon— estuvieron involucrados, así como la agrupación Storm-2603, que utilizó las vulnerabilidades para distribuir ransomware.

Microsoft se negó a responder preguntas específicas de The Register, pero afirmó que analizará el incidente y “mejorará sus procesos”.

Satnam Narang, ingeniero del equipo de operaciones especiales de Tenable, dijo a The Register que la filtración podría no haber sido la única forma de obtener información sobre la vulnerabilidad. Según él, el investigador Soroush Dalili logró recrear el exploit utilizando el modelo Gemini de Google, lo que sugiere que los atacantes podrían haber hecho lo mismo usando modelos LLM como Gemini, Claude Opus o GPT-4o de OpenAI.

No obstante, como admite el propio Narang, “es difícil decir qué cadena exacta de eventos permitió a los atacantes explotar estas vulnerabilidades en ataques reales”.

Además, Microsoft no ha publicado instrucciones MAPP sobre dos nuevas vulnerabilidades —CVE-2025-53770 y CVE-2025-53771— relacionadas con CVE-2025-49704 y CVE-2025-49706. Según Childs, esto podría indicar que Microsoft ha dejado de confiar temporalmente en el programa: “si yo creyera que la filtración vino de MAPP, tampoco compartiría nada más a través de él”.