Una vulnerabilidad crítica de seguridad en Microsoft SharePoint Server se ha armado como parte de una campaña de explotación «activa a gran escalera».
El defecto de día cero, rastreado como CVE-2025-53770 (Puntuación CVSS: 9.8), se ha descrito como una transformación de CVE-2025-49706 (puntaje CVSS: 6.3), un error de falsificación en Microsoft SharePoint Server que fue abordado por el superhombre tecnológico como parte de sus actualizaciones de parche de julio de 2025 el martes.
«La deserialización de los datos no confiables en el servidor específico de Microsoft SharePoint permite que un atacante no calificado ejecute código a través de una red», dijo Microsoft en un aviso publicado el 19 de julio de 2025.
El fabricante de Windows señaló adicionalmente que se está preparando y probando completamente una modernización integral para resolver el problema. Acreditó a Viettel Cyber Security por descubrir e informar la descompostura a través de la iniciativa de Trend Micro’s Zero Day (ZDI).
En una alerta separada emitida el sábado, Redmond dijo que es consciente de los ataques activos dirigidos a clientes de SharePoint Server en los equipos, pero enfatizó que SharePoint Online en Microsoft 365 no se ve afectado.
En abandono de un parche oficial, Microsoft insta a los clientes a configurar la integración de la interfaz de escaneo de antimalware (AMSI) en SharePoint e implementar el defensor AV en todos los servidores de SharePoint.
Vale la pena señalar que la integración de AMSI está habilitada de forma predeterminada en la modernización de seguridad de septiembre de 2023 para SharePoint Server 2016/2019 y la modernización de funciones de la interpretación 23H2 para la publicación de suscripción de SharePoint Server.
Para aquellos que no pueden habilitar AMSI, se aconseja que el servidor de SharePoint esté desconectado de Internet hasta que esté adecuado una modernización de seguridad. Para una protección adicional, se recomienda a los usuarios implementar el defensor para el punto final para detectar y cortar la actividad posterior a la explotación.
La divulgación se produce cuando la Dispositivo de Networks de Seguridad Ojera y Palo Suspensión Advirtió sobre los ataques que encadenan CVE-2025-49706 y CVE-2025-49704 (puntaje CVSS: 8.8), una descompostura de inyección de código en SharePoint, para proporcionar la ejecución del comando arbitrary en instancias susceptibles. La cautiverio de exploit ha sido con nombre en código de herramientas.
Pero cedido que CVE-2025-53770 es una «transformación» de CVE-2025-49706, se sospecha que estos ataques están relacionados.
La actividad maliciosa esencialmente implica la entrega de cargas bártulos ASPX a través de PowerShell, que luego se utiliza para robar la configuración de la metralleta del servidor SharePoint, incluida la validationKey y DecryptionKey, para sustentar el camino persistente.
La compañía de seguridad cibernética holandesa dijo que estas claves son cruciales para producir cargas bártulos válidas de __viewState, y que obtener camino a ellas convierte efectivamente cualquier solicitud de SharePoint autenticada en una oportunidad de ejecución de código remoto.
«Todavía estamos identificando olas de exploit masivas», dijo el CTO de Seguridad presencial Piet Kerkhofs a The Hacker News en un comunicado. «Esto tendrá un gran impacto a medida que los adversarios se muevan lateralmente utilizando esta ejecución de código remoto con velocidad».
«Notificamos a casi 75 organizaciones que se violaron, ya que identificamos el caparazón web receloso en sus servidores de SharePoint. En este género hay grandes empresas y grandes organismos gubernamentales en todo el mundo».
Vale la pena señalar que Microsoft aún no ha actualizado sus avisos para CVE-2025-49706 y CVE-2025-49704 para reflectar la explotación activa. Igualmente nos hemos comunicado con la empresa para obtener más aclaraciones, y actualizaremos la historia si recibimos telediario.
(La historia se está desarrollando. Vuelve a consultar para obtener más detalles).
