Según los hallazgos de Check Point Research, la recientemente revelada vulnerabilidad de Microsoft SharePoint ya estaba siendo explotada a partir del 7 de julio de 2025.
La compañía de ciberseguridad dijo que sus actividades se fortalecieron el 18 y 19 de julio en los sectores del gobierno, comunicaciones y software de América del Norte y Europa occidental, y se ha observado el primer intento de explotación dirigido a los principales gobiernos occidentales no identificados.
Check Point también declaró que los esfuerzos de explotación provienen de tres direcciones IP diferentes, derivadas de 104.238.159 (.) 149, 107.191.58 (.) 76 y 96.9.125 (.) 147. CVE-2025-4428).
«Estamos presenciando una amenaza urgente y agresiva. Los días cero importantes en SharePointonprem están siendo explotados en la naturaleza, lo que pone en riesgo a Hacker News en riesgo de miles de organizaciones globales», dijo Lotem Finkelstein, director de inteligencia de amenazas en la investigación del punto de control de Checkpoint.
«Nuestro equipo ha confirmado docenas de intentos de compromiso en todo el gobierno, los sectores de comunicaciones y tecnología desde el 7 de julio. Las empresas nos instan a actualizar sus sistemas de seguridad de inmediato. La campaña es sofisticada y se mueve rápidamente».
La cadena de ataque se observa utilizando CVE-2025-53770, una falla de ejecución de código remoto recién parcheado en SharePoint Server, CVE-2025-49706.
En esta etapa, vale la pena mencionar que SharePoint, que se reveló este mes, tiene dos conjuntos de vulnerabilidades,
CVE-2025-49704 (Puntuación CVSS: 8.8)-Microsoft SharePoint Remote Code Execution Reality CVE-2025-53771 (puntaje CVSS: 7.1)-Vulnerabilidad de falsificación de Microsoft SharePoint Server
CVE-2025-49704 y CVE-2025-49706 se llaman herramientas y son cadenas de explotación que conducen a la ejecución de código remoto en las instancias del servidor de SharePoint. Fueron revelados originalmente por Viettel Cyber Security durante la competencia de piratería del propietario de PWN2 a principios de mayo de este año en la competencia de piratería de 2025.
El CVE-2025-53770 y CVE-2025-53771, revelados durante el fin de semana, se describen como variaciones de CVE-2025-49704 y CVE-2025-49706, respectivamente, lo que indica que son derivados de las fijas originales que Microsoft colocó este año.
Esto se evidencia por el hecho de que Microsoft ha admitido ataques activos que aprovechan «vulnerabilidades que se abordaron parcialmente en la actualización de seguridad de julio». La compañía también recomendó que las actualizaciones para CVE-2025-53770 y CVE-2025-53771 incluyan «protección más robusta» que las actualizaciones para CVE-2025-49704 y CVE-2025-49706. Sin embargo, CVE-2025-53771 señala que Redmond no lo ha marcado como explotado activamente en la naturaleza.
«CVE-2025-53770 aprovecha la debilidad de cómo Microsoft SharePoint Server maneja la desgasificación de datos no confiables». «Los atacantes están aprovechando este defecto para obtener la ejecución de código remoto no certificado».
Esto se logra implementando un shell web ASP.NET malicioso que extrae programáticamente claves de cifrado confidenciales. Estas claves robadas se aprovechan para crear y firmar cargas útiles de __viewState __view, estableciendo así un acceso permanente y permitiendo la ejecución de cualquier comando en el servidor de SharePoint.
Según la telemetría de Bitdefender, se ha detectado la explotación salvaje en los Estados Unidos, Canadá, Austria, Jordania, México, Alemania, Sudáfrica, Suiza y los Países Bajos, lo que sugiere un abuso generalizado de fallas.
Palo Alto Networks Unit 42 dijo en el propio análisis de su campaña que se han observado comandos que se ejecutan para ejecutar los comandos de PowerShell codificados Base64.
«El archivo SpinInstall0.aspx es un shell web que le permite ejecutar varias funciones para obtener la tecla de validación, DecryptionKeys y los modos de compatibilidad del servidor, y el modo de compatibilidad del servidor requerido para crear la tecla de cifrado ViewState».
Contenido de spininstall0.aspx
En un aviso emitido el lunes, Sentinelone detectó por primera vez la explotación el 17 de julio, con compañías de ciberseguridad que identifican tres «grupos de ataque claro» y tres «grupos de ataque claro», incluidas las actitas de amenaza alineadas en el estado.
Los objetivos de la campaña incluyen consultoría de tecnología, fabricación, infraestructura crítica y servicios especializados relacionados con organizaciones sensibles de arquitectura e ingeniería.
«Los objetivos iniciales sugieren que la actividad es inicialmente organizaciones cuidadosamente selectivas y específicas con valor estratégico o aumento», dijeron los investigadores Simon Kenin, Jim Walter y Tom Hegel.
Un análisis de la actividad de ataque reveló el uso de un shell web ASPX protegido por contraseña («xxx.aspx») a las 9:58 a.m. GMT el 18 de julio de 2025. El shell web admite tres funciones: autenticación a través de formularios incorporados, ejecución de comandos a través de cmd.exe y una carga de archivos.
Se sabe que los esfuerzos de explotación posteriores utilizan el shell web «Spinstall0.aspx» para extraer y publicar materiales de cifrado sensibles del host.
Spinstall0.aspx «no es un shell web de comando tradicional, es la utilidad del reconocimiento y la persistencia», explicaron los investigadores. «Este código extrae e imprime el valor de la ametralladora del host, incluida la clave de verificación, el descifrado y la configuración del modo de cifrado. Esta es información importante para los atacantes que intentan mantener el acceso persistente a través de un entorno de SharePoint equilibrado por carga.
A diferencia de otros shells web que normalmente se caen en los servidores expuestos a Internet para facilitar el acceso remoto, SpinStall0.aspx parece estar diseñado con la única intención de recopilar secretos criptográficos que pueden usarse para crear autenticación o tokens de sesión a través de instancias de SharePoint.
Estos ataques comienzan con una solicitud de publicación HTTP especialmente creada a un servidor de SharePoint accesible que intenta escribir spinstall0.aspx a través de PowerShell para cada huelga en la nube. La compañía dijo que bloqueó cientos de intentos de explotación en más de 160 entornos de clientes.
Sentinelone ha descubierto un clúster llamado «No Shell», que se llama un «enfoque más avanzado y sigiloso» al elegir ejecutar un módulo .NET en la memoria sin dejar cargas útiles en el disco. La actividad ocurrió desde la dirección IP 96.9.125 (.) 147.
«Este enfoque complica significativamente la detección y la recuperación forense, destacando la amenaza planteada por las técnicas posteriores a la explosión», la compañía dijo que era «el trabajo de los ejercicios calificados de emulación del equipo rojo o el trabajo de actores de amenaza competentes que se centran en el acceso evasivo y la cosecha de calificación».
El Mandiant propiedad de Google se atribuye a una explosión temprana en un grupo de piratería junto a China, pero actualmente se desconoce si está detrás de la actividad de ataque.
Los datos de Censys muestran que hay 9,762 servidores de SharePoint en línea en línea, pero actualmente se desconoce si todos son susceptibles a los defectos. Dado que los servidores de SharePoint son objetivos ventajosos para los actores de amenazas debido a la naturaleza de los datos organizacionales confidenciales almacenados en ellos, es esencial que los usuarios se muevan rápidamente para aplicar claves fijas, rotar y reiniciar instancias.
«Al menos una de las personas responsables de la explotación temprana calificó a los actores de las amenazas de China y Nexus», dijeron en un puesto de LinkedIn de Google Cloud, CTO y CTO Charles Carmakal en un puesto de LinkedIn. «Reconocemos a las víctimas de varios sectores y regiones globales. Esta actividad involucra principalmente el robo de materiales clave de la máquina que pueden usarse para acceder al entorno de la víctima después de que se haya aplicado el parche».
Source link
