Spoiler: Una falla crítica en SharePoint permite ataques sin login y ya está siendo explotada. Aquí te contamos cómo protegerte.
En julio de 2025, dos vulnerabilidades críticas fueron descubiertas en versiones on-premise de Microsoft SharePoint. Identificadas como CVE-2025-53770 y CVE-2025-53771, estas fallas de seguridad están siendo activamente explotadas por atacantes, lo que representa una amenaza seria para organizaciones que aún dependen de SharePoint Server en entornos locales (on-premise).
Con un puntaje CVSS de 9.8, ambas vulnerabilidades permiten ejecución remota de código (RCE) sin necesidad de autenticación, facilitando que los atacantes tomen control de los servidores afectados con solo enviar tráfico a un archivo vulnerable.
Esta falla afecta el archivo ToolPane.aspx, una parte del sistema de administración de contenido de SharePoint. A través de una técnica de deserialización insegura, los atacantes pueden ejecutar comandos remotos y desplegar webshells que les permiten mantener acceso persistente al servidor.
De acuerdo con Trend Micro, los ataques ya están en curso y se han detectado patrones como:
Tráfico POST anómalo hacia /ToolPane.aspx
Webshells como spinstall0.aspx o def.aspx ubicadas en inetpub\wwwroot
Procesos inusuales de w3wp.exe ejecutando comandos
Errores ViewState en logs de aplicaciones
Las siguientes versiones y builds de SharePoint están afectadas si no han sido actualizadas con los parches de julio 2025:
SharePoint Server 2016 → parche KB5002760 (idioma: KB5002759)
SharePoint Server 2019 → parche KB5002754 (idioma: KB5002753)
SharePoint Server SE → parche KB5002768
Si tu organización aún no aplica estos updates, el riesgo es inminente.
CVE-2025-53770 y 53771 tienen una puntuación CVSS de 9.8, lo que indica un riesgo crítico. Esto significa que:
La explotación es posible sin necesidad de autenticación
Puede ejecutarse de forma remota, incluso desde internet
Afecta entornos empresariales ampliamente utilizados
Permite control completo del servidor y persistencia maliciosa
De acuerdo con análisis de Gartner y Forrester, vulnerabilidades RCE sin login en aplicaciones colaborativas como SharePoint son cada vez más utilizadas por atacantes para:
Exfiltración de datos
Propagación de ransomware
Acceso lateral a otras áreas críticas de la red
Compromiso total de Active Directory y credenciales
Desde Smartekh recomendamos aplicar estas acciones inmediatas:
Parches ya
Verifica si tus servidores tienen instaladas las actualizaciones de julio. Si no puedes aplicar los parches de inmediato, considera aislar temporalmente los servidores vulnerables.
Monitoreo de IoCs (Indicadores de Compromiso)
Busca tráfico POST a /ToolPane.aspx, presencia de webshells (*.aspx) en las carpetas públicas del servidor, y errores ViewState en los logs.
Auditoría de procesos
Observa cualquier ejecución anómala de w3wp.exe, especialmente si ejecuta scripts o se conecta hacia fuera de tu red.
Fortalecimiento perimetral
Revisa reglas de firewall y WAF para bloquear accesos no autorizados a rutas internas como /ToolPane.aspx.
Considera migrar a entornos reforzados
Si tu organización aún depende fuertemente de SharePoint on-premise, es momento de evaluar alternativas más seguras, como soluciones en la nube con Zero Trust incorporado.
En Smartekh somos especialistas en detección, contención y remediación de incidentes en tiempo récord. Podemos ayudarte a:
Detectar señales de compromiso antes de que escale
Restringir movimientos laterales dentro de tu red
Reducir tu superficie de ataque con medidas de seguridad adaptadas a tu negocio
Asegurar el cumplimiento normativo ante vulnerabilidades críticas
Nuestro equipo de expertos responde incidentes en menos de 15 minutos y puede ayudarte incluso si tu equipo interno está saturado o sin personal especializado.
Agenda una evaluación de tu infraestructura y evita que esta vulnerabilidad te tome por sorpresa.