La Agencia de Seguridad de Ciberseguridad e Infraestructura de EE. UU. (CISA), el 22 de julio de 2025, agregó dos fallas de Microsoft SharePoint, CVE-2025-49704 y CVE-2025-49706, a su catálogo de vulnerabilidades explotadas (KEV) conocidas, basadas en la evidencia de la explotación activa.
Con ese fin, las agencias federales de rama ejecutiva civil (FCEB) deben remediar las vulnerabilidades identificadas antiguamente del 23 de julio de 2025.
«CISA es consciente de la explotación activa de una sujeción de vulnerabilidad de suplantación y RCE que involucra CVE-2025-49706 y CVE-2025-49704, lo que permite el golpe no competente a los servidores de SharePoint locales», dijo la agencia en un asesor actualizado.
La inclusión de las dos deficiencias, una vulnerabilidad de falsificación y una vulnerabilidad de ejecución de código remoto rastreada colectivamente como cáscara de herramientas, para el catálogo de KEV viene posteriormente de que Microsoft reveló que grupos de piratería chinos como el tifón de lienzo y el tifón Violet aprovecharon estas fallas para infringir los servidores de las SharePoepoint en las principales salentes desde el 7 de julio de 2025.
Al momento de escribir, los propios asesoramiento del superhombre tecnológico solo enumeran CVE-2025-53770 como explotado en la naturaleza. Adicionalmente, describe los cuatro fallas como a continuación –
- CVE-2025-49704-Ejecución de código remoto de SharePoint
- CVE-2025-49706-Ejecución de código remoto de SharePoint Post-Auth
- CVE-2025-53770-Bypass de autenticación de SharePoint Toolshell y ejecución de código remoto
- CVE-2025-53771-Traversal de SharePoint Toolshell Rath
El hecho de que CVE-2025-53770 sea un bypass de autenticación y un error de ejecución de código remoto indica que CVE-2025-53771 no es necesario para construir la sujeción de explotación. Se evalúa que CVE-2025-53770 y CVE-2025-53771 son derivados de parche para CVE-2025-49704 y CVE-2025-49706, respectivamente.
«La causa raíz (de CVE-2025-53770) es una combinación de dos errores: un bypass de autenticación (CVE-2025-49706) y una vulnerabilidad de deserialización insegura (CVE-2025-49704)», dijo el agrupación de inteligencia de seguridad Akamai.
Cuando se contactó para hacer comentarios sobre el estado de explotación de CVE-2025-53771 y otros fallas, un portavoz de Microsoft le dijo a The Hacker News que la información publicada en sus avisos es correcta «en el momento de la publicación flamante» y que no suele modernizar posteriormente de la emancipación.
«Microsoft además ayuda a CISA con el catálogo de vulnerabilidades explotados conocidos que proporciona información actualizada regularmente sobre vulnerabilidades explotadas», agregó el portavoz.
El mejora se produce cuando WatchTowr Labs dijo a la publicación que ha ideado internamente un método que explota CVE-2025-53770 de modo que evita la interfaz de escaneo de antimalware (AMSI), un paso de mitigación descrito por Microsoft para evitar ataques no autenticados.
«Esto nos ha permitido continuar identificando sistemas vulnerables incluso posteriormente de que se hayan trabajador mitigaciones como AMSI», dijo el CEO de WatchTowr, Benjamin Harris. «Amsi nunca fue una bala de plata, y este resultado fue preciso. Pero nos preocupa entender que algunas organizaciones eligen ‘habilitar a Amsi’ en circunstancia de parchear. Esta es una muy mala idea».
«Ahora que la explotación se ha relacionado con los actores de estado-nación, sería ingenuo pensar que podrían utilizar un día cero de SharePoint, pero de alguna guisa no acaecer por suspensión. Las organizaciones deben parchear. Deben proponer que todos los POC públicos se activarán a AMSI, y las organizaciones engañan a creer que las mitigaciones son comprensivas/El hospedador no es delicado. Esto sería incorrecto». «
