Skip to main content
¿Bajo Incidente?

Vulnerabilidad crítica en SharePoint permite ataques sin login (CVE‑2025‑53770 y 53771)

Grupo Smartekh
by Grupo Smartekh
25/07/25 16:16

Spoiler:  Una falla crítica en SharePoint permite ataques sin login y ya está siendo explotada. Aquí te contamos cómo protegerte.

En julio de 2025, dos vulnerabilidades críticas fueron descubiertas en versiones on-premise de Microsoft SharePoint. Identificadas como CVE-2025-53770 y CVE-2025-53771, estas fallas de seguridad están siendo activamente explotadas por atacantes, lo que representa una amenaza seria para organizaciones que aún dependen de SharePoint Server en entornos locales (on-premise).

Con un puntaje CVSS de 9.8, ambas vulnerabilidades permiten ejecución remota de código (RCE) sin necesidad de autenticación, facilitando que los atacantes tomen control de los servidores afectados con solo enviar tráfico a un archivo vulnerable.

 

¿Qué es la vulnerabilidad CVE-2025-53770?

Esta falla afecta el archivo ToolPane.aspx, una parte del sistema de administración de contenido de SharePoint. A través de una técnica de deserialización insegura, los atacantes pueden ejecutar comandos remotos y desplegar webshells que les permiten mantener acceso persistente al servidor.

De acuerdo con Trend Micro, los ataques ya están en curso y se han detectado patrones como:

  • Tráfico POST anómalo hacia /ToolPane.aspx

  • Webshells como spinstall0.aspx o def.aspx ubicadas en inetpub\wwwroot

  • Procesos inusuales de w3wp.exe ejecutando comandos

  • Errores ViewState en logs de aplicaciones

 

¿Qué versiones de SharePoint están en riesgo?

Las siguientes versiones y builds de SharePoint están afectadas si no han sido actualizadas con los parches de julio 2025:

  • SharePoint Server 2016 → parche KB5002760 (idioma: KB5002759)

  • SharePoint Server 2019 → parche KB5002754 (idioma: KB5002753)

  • SharePoint Server SE → parche KB5002768

Si tu organización aún no aplica estos updates, el riesgo es inminente.

 

¿Por qué es tan grave esta vulnerabilidad?

CVE-2025-53770 y 53771 tienen una puntuación CVSS de 9.8, lo que indica un riesgo crítico. Esto significa que:

  • La explotación es posible sin necesidad de autenticación

  • Puede ejecutarse de forma remota, incluso desde internet

  • Afecta entornos empresariales ampliamente utilizados

  • Permite control completo del servidor y persistencia maliciosa

De acuerdo con análisis de Gartner y Forrester, vulnerabilidades RCE sin login en aplicaciones colaborativas como SharePoint son cada vez más utilizadas por atacantes para:

  • Exfiltración de datos

  • Propagación de ransomware

  • Acceso lateral a otras áreas críticas de la red

  • Compromiso total de Active Directory y credenciales

 

¿Cómo proteger tu infraestructura SharePoint?

Desde Smartekh recomendamos aplicar estas acciones inmediatas:

  1. Parches ya
    Verifica si tus servidores tienen instaladas las actualizaciones de julio. Si no puedes aplicar los parches de inmediato, considera aislar temporalmente los servidores vulnerables.

  2. Monitoreo de IoCs (Indicadores de Compromiso)
    Busca tráfico POST a /ToolPane.aspx, presencia de webshells (*.aspx) en las carpetas públicas del servidor, y errores ViewState en los logs.

  3. Auditoría de procesos
    Observa cualquier ejecución anómala de w3wp.exe, especialmente si ejecuta scripts o se conecta hacia fuera de tu red.

  4. Fortalecimiento perimetral
    Revisa reglas de firewall y WAF para bloquear accesos no autorizados a rutas internas como /ToolPane.aspx.

  5. Considera migrar a entornos reforzados
    Si tu organización aún depende fuertemente de SharePoint on-premise, es momento de evaluar alternativas más seguras, como soluciones en la nube con Zero Trust incorporado.

 

¿Qué puede hacer Smartekh por tu empresa?

En Smartekh somos especialistas en detección, contención y remediación de incidentes en tiempo récord. Podemos ayudarte a:

  • Detectar señales de compromiso antes de que escale

  • Restringir movimientos laterales dentro de tu red

  • Reducir tu superficie de ataque con medidas de seguridad adaptadas a tu negocio

  • Asegurar el cumplimiento normativo ante vulnerabilidades críticas

Nuestro equipo de expertos responde incidentes en menos de 15 minutos y puede ayudarte incluso si tu equipo interno está saturado o sin personal especializado.

¿Te gustaría que revisemos tu entorno SharePoint?

Agenda una evaluación de tu infraestructura y evita que esta vulnerabilidad te tome por sorpresa.

Portada Blog (1)-2

Tags:

Vulnerabilidad SharePoint 2025, Parche Seguridad Microsoft Julio, Ataques A Servidores On Premise, CVE 2025 53770, Ejecución Remota Sin Autenticación
Grupo Smartekh
escrito porGrupo Smartekh
25/07/25 16:16
Ciberseguridad estratégica para líderes que quieren crecer sin miedo. En este espacio compartimos ideas, aprendizajes y alertas que importan. Desde hacks reales hasta errores evitables, todo explicado en lenguaje claro y con enfoque de negocio. Somos un equipo apasionado por hacer que la ciberseguridad no solo sea técnica, sino también útil, humana y accionable. Aquí no solo hablamos de firewalls y vulnerabilidades: hablamos de decisiones inteligentes, riesgos bajos y estrategias que permiten a las empresas mexicanas avanzar con confianza.
Follow me on my website Follow me on Facebook Follow me on LinkedIn Follow me on Twitter

Related Articles

Comentarios

CYBERSECURITY STRATEGY pag web (2)

¿Puedes darte el lujo de no concientizar sobre ciberseguridad?

En este repositorio, encontrarás una variedad de infografías que cubren temas esenciales de ciberseguridad. Están diseñadas para ser fácilmente descargables y utilizables en diversas iniciativas de concientización dentro de tu organización.

 
Categorías
Lo más nuevo