La recientemente revelada vulnerabilidad crítica de Microsoft SharePoint ha estado bajo explotación el 7 de julio de 2025, según los hallazgos de Check Point Research.
La compañía de ciberseguridad dijo que observó los primeros intentos de explotación dirigidos a un importante gobierno occidental no identificado, con la actividad que se intensifica el 18 y 19 de julio, que alpargata el gobierno, las telecomunicaciones y los sectores de software en América del Ártico y Europa occidental.
Check Point igualmente dijo que los esfuerzos de explotación se originaron en tres direcciones IP diferentes: 104.238.159 (.) 149, 107.191.58 (.) 76 y 96.9.125 (.) 147-Uno de los cuales estaba vinculado previamente a la armamento de las defectos de seguridad en las aplicaciones móviles del jefe de punto final (EPMM) (CVE-2025-4427 de seguridad IVanti. CVE-2025-4428).
«Estamos presenciando una amenaza urgente y activa: un día cero crítico en SharePoint On-Prem está siendo explotado en la naturaleza, lo que pone en aventura a miles de organizaciones globales», dijo Lotem Finkelstein, director de inteligencia de amenazas en Check Point Research, a The Hacker News.
«Nuestro equipo ha confirmado docenas de intentos de compromiso en los sectores del gobierno, telecomunicaciones y tecnológicos desde el 7 de julio. Instamos a las empresas a modernizar sus sistemas de seguridad de inmediato; esta campaña es sofisticada y rápida».
Se han observado que los cadenas de ataque apalancan CVE-2025-53770, una defecto de ejecución de código remoto recién parcheado en SharePoint Server, y encadenándolo con CVE-2025-49706, una vulnerabilidad de falsificación que fue parcheada por Microsoft como parte de su puesta al día del martes de julio de 2025 el martes, para obtener llegada auténtico y privilegios de escalado.
Vale la pena mencionar en esta etapa que hay dos conjuntos de vulnerabilidades en SharePoint que han nacido a la luz este mes,
- CVE-2025-49704 (Puntuación CVSS: 8.8) – Vulnerabilidad de ejecución de código remoto de Microsoft SharePoint (fijado el 8 de julio de 2025)
- CVE-2025-49706 (Puntuación CVSS: 7.1) – Vulnerabilidad de falsificación de Microsoft SharePoint Server (fijado el 8 de julio de 2025)
- CVE-2025-53770 (Puntuación CVSS: 9.8) – Vulnerabilidad de ejecución de código remoto de Microsoft SharePoint Server
- CVE-2025-53771 (Puntuación CVSS: 7.1) – Vulnerabilidad de falsificación de Microsoft SharePoint Server
CVE-2025-49704 y CVE-2025-49706, denominado colectivamente la costa de herramientas, es una esclavitud de explotación que puede conducir a la ejecución de código remoto en las instancias del servidor de SharePoint. Fueron revelados originalmente por Viettel Cyber Security durante la competencia de piratería PWN2OWN 2025 a principios de mayo.
CVE-2025-53770 y CVE-2025-53771, que salió a la luz durante el fin de semana, se han descrito como variantes de CVE-2025-49704 y CVE-2025-49706, respectivamente, lo que indica que son derivados para las fijas originales establecidas por microsofts de microsoft más temprano este mes.
Esto se evidencia por el hecho de que Microsoft reconoció ataques activos que explotan «vulnerabilidades parcialmente abordadas por la puesta al día de seguridad de julio». La compañía igualmente señaló en sus avisos que las actualizaciones para CVE-2025-53770 y CVE-2025-53771 incluyen «protecciones más sólidas» que las actualizaciones para CVE-2025-49704 y CVE-2025-49706. Sin requisa, lleva a señalar que CVE-2025-53771 no ha sido afectado por Redmond como explotado activamente en la naturaleza.
«CVE-2025-53770 explota una afición en cómo Microsoft SharePoint Server maneja la deserialización de los datos no confiables», dijo Martin Zugec, director de soluciones técnicas en Bitdefender. «Los atacantes están aprovechando este defecto para obtener la ejecución de código remoto no autenticado».
Esto, a su vez, se logra mediante la implementación de shells web de ASP.NET maliciosos que extraen medidas criptográficas confidenciales programáticas. Seguidamente, estas claves robadas se aprovechan para crear y firmar cargas aperos maliciosas de __viewState, estableciendo así un llegada persistente y permitiendo la ejecución de comandos arbitrarios en SharePoint Server.
Según la Telemetría de Bitdefender, se ha detectado la explotación en el flujo en los Estados Unidos, Canadá, Austria, Jordania, México, Alemania, Sudáfrica, Suiza y los Países Bajos, lo que sugiere un exceso generalizado de la defecto.
Palo Stop Networks Unit 42, en su propio prospección de la campaña, dijo que observó los comandos que se ejecutan para ejecutar un comando PowerShell codificado Base64, que crea un archivo en la ubicación «C: Program ~ 1 Common ~ 1 Micros ~ 1 Webser ~ 1 16 Template Lights Spinstall0.aspx» y luego Parses su contenido.
«El archivo SpinStall0.aspx es un shell web que puede ejecutar varias funciones para recuperar garra Keys, DecryptionKeys y el CompatabilityMode del servidor, que son necesarios para forjar claves de enigmático ViewState», dijo la mecanismo 42 en un referencia de amenaza.
 |
| Contenido de spinstall0.aspx |
En un aviso emitido el lunes, Sentinelone dijo que primero detectó la explotación el 17 de julio, con la compañía de seguridad cibernética identificando tres «grupos de ataque distintos», incluidos los actores de amenazas alineados por el estado, que participan en actividades de señuelo y explotación en etapa auténtico.
Los objetivos de las campañas incluyen consultoría de tecnología, fabricación, infraestructura crítica y servicios profesionales vinculados a organizaciones de casa e ingeniería sensibles.
«Los primeros objetivos sugieren que la actividad fue inicialmente cuidadosamente selectiva, dirigida a organizaciones con valencia clave o llegada elevado», dijeron los investigadores Simon Kenin, Jim Walter y Tom Hegel.
El prospección de la actividad de ataque ha revelado el uso de un shell web ASPX protegido por contraseña («xxx.aspx») el 18 de julio de 2025 a las 9:58 am GMT. El shell web admite tres funciones: autenticación a través de un formulario integrado, ejecución de comandos a través de cmd.exe y la carga de archivos.
Se ha enemigo que los esfuerzos de explotación posteriores emplean el caparazón web «spinstall0.aspx» para extraer y exponer material criptográfico sensible del host.
Spinstall0.aspx «no es un comando tradicional webshell, sino más adecuadamente una utilidad de examen y persistencia», explicaron los investigadores. «Este código extrae e imprime los títulos de la máquina de ames de máquina del host, incluidos los ajustes de validationKey, DecryptionKey y el modo criptográfico, información crítica para los atacantes que buscan perdurar el llegada persistente en entornos de SharePoint de carga o forja tokens de autenticación».
A diferencia de otros proyectiles web que generalmente se caen en servidores expuestos a Internet para allanar el llegada remoto, SpinStall0.aspx parece estar diseñado con la única intención de resumir secretos criptográficos que luego podrían estar de moda para forjar autenticación o tokens de sesión en instancias de SharePoint.
Estos ataques, según CrowdStrike, comienzan con una solicitud de publicación HTTP especialmente elaborada a un servidor de SharePoint accesible que intenta escribir spinstall0.aspx a través de PowerShell, por crowdstrike. La compañía dijo que bloqueó cientos de intentos de explotación en más de 160 entornos de clientes.
Sentinelone igualmente descubrió un clúster denominado «No Shell» que tomó un «enfoque más liberal y sigiloso» a otros actores de amenazas al optar por la ejecución del módulo .NET en memoria sin dejar caer ninguna carga útil en el disco. La actividad se originó en la dirección IP 96.9.125 (.) 147.
«Este enfoque complica significativamente la detección y la recuperación forense, subrayando la amenaza planteada por las técnicas de explotación sin archivo», dijo la compañía, postulando que es un «entrenamiento de competencia de equipo rojo calificado o el trabajo de un actor de amenaza capaz con un enfoque en el llegada evasivo y la cosecha de credenciales».
Actualmente no se sabe quién está detrás de la actividad de ataque, aunque Mandiant, propiedad de Google, ha atribuido la explotación temprana a un agrupación de piratería adscrito por China.
Los datos de Censys muestran que hay 9,762 servidores de SharePoint en diámetro en diámetro, aunque actualmente no se sabe si todos ellos son susceptibles a las fallas. Legado que los servidores de SharePoint son un objetivo rentable para los actores de amenaza adecuado a la naturaleza de los datos organizacionales confidenciales almacenados en ellos, es esencial que los usuarios se muevan rápidamente para aplicar las correcciones, rotar las claves y reiniciar las instancias.
«Evaluamos que al menos uno de los actores responsables de la explotación temprana es un actor de amenaza de China-Nexus», dijo Charles Carmakal, CTO, consultoría Mandiant en Google Cloud, en una publicación sobre LinkedIn. «Somos conscientes de las víctimas en varios sectores y geografías globales. La actividad implicó principalmente el robo del material secreto de la máquina que podría estar de moda para penetrar a entornos de víctimas luego de que se haya perseverante el parche».
