Una nueva vulnerabilidad crítica de día cero en Microsoft SharePoint, identificada como CVE-2025-53770, está siendo activamente explotada en ataques dirigidos. Y sí, es tan grave como suena.
Los atacantes están logrando ejecutar código malicioso de forma remota, sin necesidad de autenticarse, y lo peor: están consiguiendo mantener el acceso persistente a los sistemas afectados usando claves criptográficas robadas.
Este nuevo exploit aparece poco después de que se revelara ToolShell, una cadena de exploits que combinaba dos fallas anteriores de SharePoint para permitir accesos remotos sin autenticación. Ahora, con CVE-2025-53770 también en juego y siendo explotada de forma similar, la preocupación crece rápidamente entre las organizaciones que aún utilizan entornos locales de SharePoint, especialmente si están expuestos a Internet.
Si tienes instancias locales de SharePoint, y más aún si están accesibles desde fuera de tu red (expuestas a Internet), esta es una amenaza que no puedes ignorar. En este artículo te explicaremos qué está pasando con CVE-2025-53770, cómo se relaciona con otras vulnerabilidades recientes y qué puedes hacer para protegerte. Spoiler: Microsoft ya lanzó parches de emergencia para corregir esta vulnerabilidad y mitigar los riesgos.
CVE-2025-53770 es una vulnerabilidad de ejecución remota de código (RCE) con una puntuación CVSS de 9.8, lo que la coloca en la categoría de las más críticas.
El problema radica en la forma en que SharePoint maneja ciertos datos: se trata de una deserialización insegura de entradas no confiables. En términos simples, esto permite que un atacante envíe datos especialmente diseñados para forzar al sistema a ejecutar comandos maliciosos, y lo más preocupante es que ni siquiera necesita estar autenticado para hacerlo.
Esta falla está relacionada con un problema anterior que Microsoft intentó corregir en su Patch Tuesday de julio de 2025. Pero como suele pasar con las amenazas más sofisticadas, los atacantes encontraron formas de seguir explotándola.
CVE-2025-53770 es, de hecho, una versión más avanzada y peligrosa del problema original. Como respuesta, Microsoft ha lanzado un segundo parche, ahora con medidas de seguridad más estrictas para cerrar definitivamente esta puerta trasera.
La Agencia de Ciberseguridad y Seguridad de Infraestructura de EE. UU. (CISA) ha reconocido oficialmente la amenaza. Tanto, que añadió CVE-2025-53770 a su catálogo de vulnerabilidades explotadas activamente (KEV).
Además, ha exigido que todas las agencias federales apliquen el parche correspondiente antes del 21 de julio de 2025. También están colaborando con Microsoft para identificar a organizaciones afectadas y alertarlas directamente.
Además de la grave falla de ejecución remota de código, Microsoft también ha revelado otra vulnerabilidad relacionada en SharePoint: CVE-2025-53771. Esta vez se trata de una vulnerabilidad de suplantación de identidad, con una puntuación de CVSS 6.3.
Aunque no es tan crítica como CVE-2025-53770, sigue siendo preocupante. El problema está relacionado con una mala gestión de los nombres de ruta dentro del sistema, lo que puede permitir a los atacantes manipular rutas de acceso para hacerse pasar por otros usuarios o realizar acciones no autorizadas.
Desde que salieron a la luz los primeros reportes sobre ataques reales aprovechando CVE-2025-53770, los expertos en seguridad han notado patrones que se asemejan mucho a campañas anteriores.
Una de las más conocidas fue la llamada ToolShell, una cadena de exploits que combinaba otras dos fallas en SharePoint:
CVE-2025-49706 (omisión de autenticación)
CVE-2025-49704 (inyección de código)
Juntas, permitían a los atacantes ejecutar código malicioso en servidores SharePoint sin necesidad de autenticarse. Y ahora, CVE-2025-53770 parece seguir un camino muy parecido.
Todo comienza con una entrada maliciosa enviada al sistema, que se aprovecha de una deserialización insegura. A partir de ahí, los atacantes pueden extraer las claves criptográficas internas del servidor, específicamente las conocidas como MachineKeys de ASP.NET, que incluyen:
ValidationKey
DecryptionKey
Con estas claves en su poder, los atacantes pueden crear cargas útiles falsificadas usando la estructura interna de __VIEWSTATE. SharePoint, sin poder distinguir si esas cargas son legítimas o no, las acepta sin cuestionarlas.
¿El resultado? El atacante mantiene el acceso al sistema, ejecuta comandos arbitrarios y lo hace sin levantar sospechas.
Podría interesarte leer: Gestión de Parches: ¿Por qué es esencial en la seguridad informática?
Aunque CVE-2025-53770 y CVE-2025-53771 son vulnerabilidades nuevas, no surgieron de la nada. Según Microsoft, ambas están estrechamente relacionadas con dos fallas anteriores en SharePoint: CVE-2025-49704 y CVE-2025-49706. Estas, cuando se combinan, forman lo que se conoce como la cadena de exploits ToolShell, una técnica avanzada que los atacantes están utilizando activamente para ejecutar código malicioso en entornos vulnerables.
ToolShell es el nombre que se le dio a una cadena de explotación descubierta por el investigador Khoa Dinh, quien identificó cómo encadenar dos vulnerabilidades críticas en SharePoint para lograr un ataque completo y sin autenticación.
Ambas fallas fueron descubiertas originalmente durante el concurso Pwn2Own Berlin, un evento reconocido por revelar vulnerabilidades de alto impacto. Aquí te explicamos de forma sencilla cada una:
ToolPane.aspx de SharePoint. El atacante puede manipular el encabezado HTTP Referer para acceder a recursos protegidos sin necesidad de iniciar sesión.
Cuando estas dos fallas se encadenan correctamente, el atacante puede:
Saltar todos los controles de autenticación
Obtener claves criptográficas del servidor (como ValidationKey y DecryptionKey)
Firmar cargas maliciosas que SharePoint interpreta como válidas
Ejecutar código con privilegios dentro del entorno de confianza del sistema
Lo alarmante es que todo esto puede lograrse con una sola solicitud bien diseñada. Por eso, ToolShell ha sido clasificado como una de las cadenas de exploits más preocupantes de los últimos años para SharePoint.
Las nuevas vulnerabilidades CVE-2025-53770 y CVE-2025-53771 siguen una lógica muy parecida. De hecho, se cree que podrían estar evolucionando desde las mismas debilidades internas en SharePoint que hicieron posible ToolShell.
CVE-2025-53770 explota el sistema a través de deserialización de datos maliciosos, lo que permite a los atacantes extraer MachineKeys del servidor y falsificar cargas útiles en __VIEWSTATE.
CVE-2025-53771, aunque menos crítica, está relacionada con la forma en que SharePoint maneja los nombres de ruta, lo que puede abrir la puerta a suplantaciones de identidad y escaladas de privilegio.
En conjunto, estas vulnerabilidades muestran que los atacantes están refinando sus métodos, aprovechando viejas debilidades y adaptándolas a nuevas técnicas.
Este exploit completo fue descubierto el 18 de julio de 2025, y para el 19 de julio, los expertos en ciberseguridad ya habían confirmado su explotación activa en entornos reales.
Hasta ahora, al menos 54 organizaciones de distintos sectores han sido afectadas. Se sabe que los atacantes están utilizando herramientas avanzadas como PowerShell, robando claves del sistema y cargando módulos .NET personalizados desde direcciones IP específicas, como 96.9.125[.]147.
Uno de los incidentes más documentados fue reportado por el equipo de Unit42, quienes detectaron cargas maliciosas y persistencia mediante robo de claves y ejecución remota.
Estas vulnerabilidades afectan únicamente a versiones locales de SharePoint. Si estás utilizando SharePoint en la nube (Microsoft 365/SharePoint Online), puedes respirar un poco más tranquilo, ya que esos entornos tienen mecanismos de autenticación y serialización distintos, que bloquean este tipo de ataques.
Versiones afectadas:
SharePoint Server 2016 (versiones anteriores al parche KB5002744)
SharePoint Server 2019 (anteriores a KB5002741)
SharePoint Server – Edición de suscripción (anteriores a la versión 16.0.18526.20424)
Según un análisis reciente en Shodan, el motor de búsqueda de dispositivos conectados, hay más de 16.000 servidores de SharePoint expuestos públicamente en todo el mundo. Eso significa que cualquier persona (incluidos posibles atacantes) puede detectarlos y escanearlos desde Internet.
Estados Unidos: 3.960 servidores
Irán: 2.488
Malasia: 1.445
Países Bajos: 759
Irlanda: 645
Aunque no todos estos servidores están necesariamente en riesgo inmediato, su visibilidad pública los convierte en objetivos potenciales para ataques automatizados o dirigidos, especialmente si no están actualizados o protegidos correctamente.
Resultados de Microsoft SharePoint en Shodan
Ante la creciente amenaza de las vulnerabilidades CVE-2025-53770 y CVE-2025-53771, Microsoft ha lanzado actualizaciones de seguridad fuera de banda (OOB) para mitigar estos fallos críticos en entornos locales de SharePoint.
Hasta el momento, las actualizaciones están disponibles para:
SharePoint Server 2019 → Actualización KB5002754
SharePoint Subscription Edition → Actualización KB5002768
Importante: Si usas SharePoint Server 2016, todavía no hay parche disponible, pero Microsoft ya está trabajando en ello.
Según Microsoft, estos nuevos parches ofrecen mejoras significativas de seguridad en comparación con las actualizaciones anteriores:
“La actualización para CVE-2025-53770 incluye protecciones más sólidas que la actualización para CVE-2025-49704. La actualización para CVE-2025-53771 incluye protecciones más sólidas que la actualización para CVE-2025-49706”, explicaron en su boletín oficial.
En resumen: sí, vale la pena aplicarlas cuanto antes.
Conoce más sobre: ¿Qué es la Administración de Parches de Terceros?
Microsoft recomienda una rotación inmediata de las claves de máquina de SharePoint, para eliminar cualquier posibilidad de persistencia por parte de actores maliciosos que hayan obtenido acceso previamente. Puedes hacerlo de dos formas:
Usa el siguiente comando en el servidor SharePoint: Update-SPMachineKey
Ve al sitio de Administración Central.
Dirígete a: Supervisión → Revisar definición de trabajo.
Busca el trabajo llamado "Rotación de teclas de máquina" y haz clic en "Ejecutar ahora".
Una vez finalizado el proceso, reinicia IIS en todos los servidores ejecutando: iisreset.exe
Microsoft también ha compartido algunas señales específicas que podrían indicar que tu entorno SharePoint fue comprometido.
POST sospechosa al siguiente endpoint: /_layouts/15/ToolPane.aspx?DisplayMode=Edit&a=/ToolPane.aspx. Con el encabezado Referer apuntando a /layouts/SignOut.aspx.
Microsoft también ha proporcionado una consulta específica que puedes ejecutar en Microsoft 365 Defender para comprobar si el archivo spinstall0.aspx fue creado en tus servidores. Esta es una forma rápida de detectar actividad sospechosa antes de que el daño sea mayor.
Si tu empresa utiliza SharePoint Server 2019 o la Subscription Edition, aplica las actualizaciones cuanto antes y sigue los pasos para rotar las claves de máquina. Si estás en SharePoint 2016, mantente alerta: el parche aún no está disponible, pero se espera pronto.
Mientras tanto, monitorea tus registros, revisa si hay archivos extraños en el sistema y refuerza los controles de acceso. Con ataques activos en curso, cada minuto cuenta.