Microsoft ha lanzado una actualización de emergencia para corregir dos vulnerabilidades zero-day en SharePoint Server, las cuales han sido utilizadas en ataques activos a servidores locales en diferentes países. Más de 50 organizaciones ya se habrían visto afectadas. Según ESET, estos ataques se vienen produciendo desde inicios de julio, lo que evidencia una actividad prolongada de explotación.
Las vulnerabilidades, identificadas como CVE-2025-53770 y CVE-2025-53771, afectan a SharePoint Server Subscription Edition, SharePoint 2019 y SharePoint 2016, pero no impactan a SharePoint Online (365). Esto se debe a que estas versiones vulnerables son instalaciones locales, a diferencia del servicio en la nube.
Estas fallas permiten la ejecución remota de código sin necesidad de autenticación, lo que otorga a los atacantes control total sobre los servidores comprometidos. ESET explicó que estas vulnerabilidades logran evadir los parches de seguridad previos lanzados en julio. La raíz del problema radica en la deserialización de datos no confiables, lo que también permitiría la extracción de claves criptográficas y la instalación de backdoors para mantener el acceso a los sistemas.
Los ataques, clasificados como parte de la campaña “ToolShell”, han impactado tanto a empresas privadas como a entidades gubernamentales, según reportes de Cyberscoop. Aunque hay registros de explotación desde el 7 de julio, la actividad se intensificó entre el 18 y 19 de julio, especialmente contra empresas de telecomunicaciones, agencias gubernamentales y compañías de software.
Microsoft insta a las organizaciones a verificar qué versión de SharePoint utilizan, asegurarse de que tenga soporte oficial, aplicar los parches correspondientes, rotar las “machine keys” de ASP.NET y reiniciar IIS en todos los servidores afectados. ESET, por su parte, recomienda mantener los sistemas actualizados, usar contraseñas robustas o autenticación en dos pasos, y contar con soluciones de seguridad para reducir los riesgos ante este tipo de amenazas.





