Spoiler: Una falla crítica en SharePoint permite ataques sin login y ya está siendo explotada. Aquí te contamos cómo protegerte.
En julio de 2025, dos vulnerabilidades críticas fueron descubiertas en versiones on-premise de Microsoft SharePoint. Identificadas como CVE-2025-53770 y CVE-2025-53771, estas fallas de seguridad están siendo activamente explotadas por atacantes, lo que representa una amenaza seria para organizaciones que aún dependen de SharePoint Server en entornos locales (on-premise).
Con un puntaje CVSS de 9.8, ambas vulnerabilidades permiten ejecución remota de código (RCE) sin necesidad de autenticación, facilitando que los atacantes tomen control de los servidores afectados con solo enviar tráfico a un archivo vulnerable.
¿Qué es la vulnerabilidad CVE-2025-53770?
Esta falla afecta el archivo ToolPane.aspx
, una parte del sistema de administración de contenido de SharePoint. A través de una técnica de deserialización insegura, los atacantes pueden ejecutar comandos remotos y desplegar webshells que les permiten mantener acceso persistente al servidor.
De acuerdo con Trend Micro, los ataques ya están en curso y se han detectado patrones como:
-
Tráfico POST anómalo hacia
/ToolPane.aspx
-
Webshells como
spinstall0.aspx
odef.aspx
ubicadas eninetpub\wwwroot
-
Procesos inusuales de
w3wp.exe
ejecutando comandos -
Errores
ViewState
en logs de aplicaciones
¿Qué versiones de SharePoint están en riesgo?
Las siguientes versiones y builds de SharePoint están afectadas si no han sido actualizadas con los parches de julio 2025:
-
SharePoint Server 2016 → parche KB5002760 (idioma: KB5002759)
-
SharePoint Server 2019 → parche KB5002754 (idioma: KB5002753)
-
SharePoint Server SE → parche KB5002768
Si tu organización aún no aplica estos updates, el riesgo es inminente.
¿Por qué es tan grave esta vulnerabilidad?
CVE-2025-53770 y 53771 tienen una puntuación CVSS de 9.8, lo que indica un riesgo crítico. Esto significa que:
-
La explotación es posible sin necesidad de autenticación
-
Puede ejecutarse de forma remota, incluso desde internet
-
Afecta entornos empresariales ampliamente utilizados
-
Permite control completo del servidor y persistencia maliciosa
De acuerdo con análisis de Gartner y Forrester, vulnerabilidades RCE sin login en aplicaciones colaborativas como SharePoint son cada vez más utilizadas por atacantes para:
-
Exfiltración de datos
-
Propagación de ransomware
-
Acceso lateral a otras áreas críticas de la red
-
Compromiso total de Active Directory y credenciales
¿Cómo proteger tu infraestructura SharePoint?
Desde Smartekh recomendamos aplicar estas acciones inmediatas:
-
Parches ya
Verifica si tus servidores tienen instaladas las actualizaciones de julio. Si no puedes aplicar los parches de inmediato, considera aislar temporalmente los servidores vulnerables. -
Monitoreo de IoCs (Indicadores de Compromiso)
Busca tráfico POST a/ToolPane.aspx
, presencia de webshells (*.aspx
) en las carpetas públicas del servidor, y erroresViewState
en los logs. -
Auditoría de procesos
Observa cualquier ejecución anómala dew3wp.exe
, especialmente si ejecuta scripts o se conecta hacia fuera de tu red. -
Fortalecimiento perimetral
Revisa reglas de firewall y WAF para bloquear accesos no autorizados a rutas internas como/ToolPane.aspx
. -
Considera migrar a entornos reforzados
Si tu organización aún depende fuertemente de SharePoint on-premise, es momento de evaluar alternativas más seguras, como soluciones en la nube con Zero Trust incorporado.
¿Qué puede hacer Smartekh por tu empresa?
En Smartekh somos especialistas en detección, contención y remediación de incidentes en tiempo récord. Podemos ayudarte a:
-
Detectar señales de compromiso antes de que escale
-
Restringir movimientos laterales dentro de tu red
-
Reducir tu superficie de ataque con medidas de seguridad adaptadas a tu negocio
-
Asegurar el cumplimiento normativo ante vulnerabilidades críticas
Nuestro equipo de expertos responde incidentes en menos de 15 minutos y puede ayudarte incluso si tu equipo interno está saturado o sin personal especializado.
¿Te gustaría que revisemos tu entorno SharePoint?
Agenda una evaluación de tu infraestructura y evita que esta vulnerabilidad te tome por sorpresa.
Tags:
Vulnerabilidad SharePoint 2025, Parche Seguridad Microsoft Julio, Ataques A Servidores On Premise, CVE 2025 53770, Ejecución Remota Sin Autenticación
25/07/25 16:16
Comentarios