Microsoft lanzó una actualización de último momento en SharePoint Server para corregir dos vulnerabilidades zero day que fueron utilizadas activamente en ataques a servidores locales en distintos países y que se estima que más de 50 organizaciones ya han sido víctimas.
Se trata de las vulnerabilidades CVE-2025-53770 y CVE-2025-53771 y afectan a las versiones de SharePoint Server Subscription Edition, SharePoint 2019 y SharePoint 2016. Vale aclarar que estas vulnerabilidades no afectan a SharePoint 365, sino a SharePoint Server que es la versión que se instala localmente.
Estas dos vulnerabilidades zero-day lo que hacen es evadir las correcciones de seguridad que se habían incluido en actualizacion anterior que había lanzado Microsoft para parchear las vulnerabilidades CVE-2025-49706 y CVE-2025-49704.
Lo que hacen estas dos nuevas vulnerabilidades al ser utilizadas en cadena es permitir a un atacante la ejecución de código de forma remota sin necesidad de autenticación y tomar control del servidor de la víctima. Microsoft describe en un comunicado la debilidad como “deserialización de datos no confiables”.
Según explicaron investigadores a WashingtonPost, “estos ataques permiten a los atacantes extraer claves criptográficas de servidores de clientes que corren SharePoint y con estas claves pueden instalar cualquier cosa; incluso backdoors que permitirían a actores maliciosos mantener una puerta abierta para volver”.
Desde la explotación de estas vulnerabilidades los ataques denominados “ToolShell” ya han afectado a compañías privadas y entidades gubernamentales, afirma Cyberscoop. Si bien algunas compañías de ciberseguridad afirman que ya desde el 7 de julio hay registros de explotación, el 18 y 19 de julio se intensificó la actividad, con intentos de ataques que apuntaban a empresas de telecomunicaciones, agencias de gobierno y compañías de software.
Microsoft además recomienda a las organizaciones que verifiquen qué versión de SharePoint utilizan y si tiene soporte oficial para poder instalar los parches. Además, recomienda a los clientes que configuren manualmente las claves de cifrado y validación (machine keys) de ASP.NET del servidor de SharePoint y reinicien IIS en todos los servidores de SharePoint.
Para más información sobre los parches que lanzó Microsoft para corregir estas vulnerabilidades visita Customer guidance for SharePoint vulnerability CVE-2025-53770.
