Las vulnerabilidades de seguridad críticas en los servidores de Microsoft SharePoint se han armado como parte de una campaña de explotación «activa y masiva».
La falla de día cero rastreada como CVE-2025-53770 (puntaje CVSS: 9.8) se describe como una variante de CVE-2025-49706 (puntaje CVSS: 6.3).
«El descenso de datos no confiable en Microsoft SharePoint Server permite a los atacantes no autorizados ejecutar código a través de la red», dijo Microsoft en un aviso publicado el 19 de julio de 2025.
El fabricante de Windows también señaló que han preparado y probado completamente una actualización integral para resolver el problema. Elogió a la seguridad cibernética de Viettel por descubrir e informar defectos a través de la iniciativa de Trend Micro’s Zero Day (ZDI).
En otra alerta emitida el sábado, Redmond dijo que estaba al tanto de los ataques activos dirigidos a los clientes de SharePoint Server de SharePoint, pero enfatizó que SharePoint Online en Microsoft 365 no se verá afectado.
Si no hay un parche oficial, Microsoft ha configurado la integración de la interfaz de escaneo de antimalware (AMSI) en SharePoint, instando a los clientes a implementar el defensor AV en todos los servidores de SharePoint.
Tenga en cuenta que la integración AMSI está habilitada de forma predeterminada en la actualización de seguridad de septiembre de 2023 para SharePoint Server 2016/2019 y la actualización de la función de la versión 23H2 para la edición de suscripción de SharePoint Server.
Para aquellos que no pueden habilitar AMSI, recomendamos que su servidor de SharePoint se desconecte de Internet hasta que las actualizaciones de seguridad estén disponibles. Para una protección adicional, se alienta a los usuarios a implementar el defensor del punto final para detectar y bloquear la actividad posterior a la exposición.
Esta divulgación advirtió de los ataques que la Unidad de Networks de Palo Security y Palo Alto Check CVE-2025-49706 y CVE-2025-49704 (puntaje CVSS: 8.8) y advirtió que fue una falla en la inyección de código en SharePoint. La cadena de exploit se llama Shellshell.
Sin embargo, dado que CVE-2025-53770 es una «variante» de CVE-2025-49706, se sospecha que estos ataques están relacionados.
La actividad maliciosa esencialmente implica la entrega de cargas útiles ASPX a través de PowerShell. Use PowerShell para robar configuraciones de chameroney para SharePoint Server, incluidos VeridationKey y DecrytionKey, y mantener un acceso persistente.
La compañía de seguridad cibernética holandesa dijo que estas claves son importantes para generar cargas útiles válidas de __viewState y convertir efectivamente las solicitudes de SharePoint autenticadas a oportunidades de ejecución de código remoto para obtener acceso a ellas.
«Todavía estamos identificando una gran cantidad de olas de exploit», dijo Piet Kerkhofs a Hacker News en un comunicado. «Esto tiene un gran impacto, ya que utiliza esta ejecución de código remoto a velocidad y se mueve horizontalmente».
«Identificamos un caparazón web malicioso en nuestros servidores de SharePoint y notificamos 75 organizaciones comprometidas. Este grupo tiene grandes corporaciones y grandes agencias gubernamentales en todo el mundo».
Vale la pena señalar que Microsoft aún no ha actualizado sus recomendaciones para CVE-2025-49706 y CVE-2025-49704 para reflejar la explotación activa. También contactamos a la compañía para una mayor aclaración. Si ha oído hablar de él, actualice la historia.
(La historia se está desarrollando. Verifique nuevamente para obtener más detalles).
Source link
