El domingo, Microsoft lanzó un parche de seguridad para los defectos de seguridad que fueron explotados activamente en SharePoint, lanzando detalles de otra vulnerabilidad que, según dijo, se abordó con «protección más robusta».
El gigante tecnológico admitió que «somos conscientes de los ataques activos dirigidos a clientes de SharePoint Server en los equipos al aprovechar las vulnerabilidades que se abordaron parcialmente en la actualización de seguridad de julio».
CVE-2025-53770 (Puntuación CVSS: 9.8) se refiere a los casos de ejecución de código remoto que resultan de los datos de descolinación de la recolección en la que no se rastrea la versión local de Microsoft SharePoint Server, a medida que se rastrean vulnerabilidades explotadas.
Un inconveniente recientemente revelado es el defecto en la falsificación de SharePoint (CVE-2025-53771, puntaje CVSS: 6.3). Se cree que los investigadores anónimos descubrieron e informaron el error.
«La restricción inapropiada de PathNames a un directorio restringido de Microsoft Office SharePoint PathName (» Path Traversal «) permite a los atacantes certificados realizar una falsificación en la red», dijo Microsoft en un aviso publicado el 20 de julio de 2025.
Microsoft también señaló que CVE-2025-53770 y CVE-2025-53771 están relacionados con otras dos vulnerabilidades de SharePoint documentadas por CVE-2025-49704 y CVE-2025-49706. La cadena de exploit, conocida como Toolshell, fue parcheada como parte de la actualización del martes del parche de julio de 2025 de la compañía.
«La actualización de CVE-2025-53770 incluye una protección más robusta que la actualización CVE-2025-49704», dijo el fabricante de Windows. «La actualización CVE-2025-53771 incluye una protección más robusta que la actualización CVE-2025-49706».
Ambos defectos identificados se aplican solo a los servidores de SharePoint locales y no afectan a SharePoint Online en Microsoft 365. El problema se aborda en las siguientes versiones (por ahora).
Para mitigar los posibles ataques, los clientes –
Utilice versiones compatibles del servidor de SharePoint In-Armes (SharePoint Server 2016, 2019 y la edición de suscripción de SharePoint) aplique las últimas actualizaciones de seguridad asegurar que la interfaz de escaneo AntiMalware (AMSI) esté activado y habilite el modo completo para una protección óptima, junto con una solución antivirus de antivirus apropiada, como el servidor antivirus defensor, el defensor de los microsoft para la protección final, o la protección de las soluciones de ratones de ratón de Sharepoint apropiadas, como el Servidor de acopo de la matanza de karos de defensor apropiada, como la protección de las amenazas de ratón de la expulsión de Sharepoint apropiada, como el Servidor de matrimonio de Keet Keet Keet.
«Es importante que los clientes reinicie la tecla de máquina ASP.NET SharePoint ASP.NET en todos los servidores de SharePoint después de aplicar las últimas actualizaciones de seguridad anteriores o habilitar AMSI», dijo Microsoft. «Si no puede habilitar AMSI, deberá rotar la clave después de instalar una nueva actualización de seguridad».
El desarrollo dijo a Hacker News que al menos 54 organizaciones han sido violadas, incluidos bancos, universidades y agencias gubernamentales. La compañía dijo que la explotación activa comenzó alrededor del 18 de julio.
La Agencia de Seguridad de Ciberseguridad e Infraestructura (CISA) de EE. UU. Debe agregar CVE-2025-53770 a sus conocidas vulnerabilidades explotadas (KEV) y aplicar las enmiendas a las agencias de la División Federal de Control de Control de Control (FCEB) antes del 21 de julio de 2025.
Palo Alto Network Unit 42, que rastrea lo que también se refiere como una «campaña de amenazas altamente influyente y continua», incluidos gobiernos, escuelas, hospitales, instituciones de atención médica, incluidas grandes empresas y grandes empresas, dijo que existe el riesgo de ser.
«Los atacantes están pasando por alto los controles de identidad, incluidos MFA y SSO, para obtener acceso privilegiado», dijo a Hacker News Michael Sikorski, CTO y Jefe de Inteligencia de Amenazas para la Unidad 42, Palo Alto Networks, Hacker News. «Cuando ingresan, eliminan datos confidenciales, implementan puertas traseras permanentes, roban claves de cifrado. El atacante ha explotado la vulnerabilidad para ingresar al sistema y ya tiene un punto de apoyo.
«Si SharePoint Onprem está expuesto a Internet, debemos suponer que nos hemos comprometido en este punto. Los parches son insuficientes para eliminar completamente el parche. Lo que es particularmente preocupante de esto es la integración profunda con la plataforma de Microsoft.
Los proveedores de ciberseguridad lo clasificaron como una amenaza altamente sensible y difícil, instando a las organizaciones que ejecutan los servidores de Microsoft SharePoint de Microsoft para aplicar instantáneamente y efectivamente los parches necesarios, rotar todos los materiales cifrados y participar en esfuerzos de respuesta a incidentes.
«La solución de ayuda de banda inmediata es eliminar Microsoft SharePoint de Internet hasta que los parches estén disponibles», agregó Sikorski. «El falso sentido de seguridad puede conducir a largos períodos de exposición y compromiso generalizado».
(Esta es una historia en desarrollo. Consulte nuevamente para obtener más detalles).
Source link
