
Alerta crítica de ciberseguridad: Exploits dirigidos a servidores SharePoint locales
El fin de semana pasado, varias agencias de ciberseguridad revelaron una serie de ciberataques en curso dirigidos específicamente a entornos locales de SharePoint Server, explotando vulnerabilidades no abordadas. Cabe destacar la vulnerabilidad CVE-2025-53770, comúnmente conocida como ToolShell, que permite el acceso no autorizado a servidores de SharePoint.
La respuesta de Microsoft a las amenazas activas
Microsoft está al tanto de estas vulnerabilidades activas y ha confirmado que se han implementado mitigaciones parciales en su Actualización de Seguridad de julio. Cabe destacar que estas vulnerabilidades afectan exclusivamente a las instalaciones locales de SharePoint Server, y los clientes que usan SharePoint Online a través de Microsoft 365 no se ven afectados.
Acceso a actualizaciones de seguridad
Las organizaciones pueden obtener la actualización de seguridad de julio relevante para sus sistemas a través de los siguientes enlaces:
- Edición de suscripción de Microsoft SharePoint Server: KB5002768
- Microsoft SharePoint Server 2019 – KB5002754
Estrategias de mitigación recomendadas
Mientras se trabaja en una revisión integral, se recomienda a los usuarios adoptar las siguientes medidas preventivas:
- Utilice versiones compatibles de SharePoint Server local.
- Instale todas las actualizaciones de seguridad disponibles, centrándose en la actualización de seguridad de julio de 2025.
- Active y configure correctamente la Interfaz de escaneo antimalware (AMSI), asegurándose de que haya una solución antivirus compatible, como Microsoft Defender Antivirus.
- Implemente Microsoft Defender para la protección de endpoints o una solución de detección de amenazas de endpoints comparable.
- Gire periódicamente las claves de la máquina ASP. NET para SharePoint Server.
Detección e identificación de amenazas
El Antivirus de Microsoft Defender puede identificar si un servidor se ha visto afectado por esta falla de seguridad. Los sistemas afectados se pueden identificar con los siguientes nombres de detección:
- Exploit:Script/SuspSignoutReq. A
- Troyano: Win32/HijackSharePointServer. A
Resultados de la investigación y llamado urgente a la acción
“Nuestro análisis implicó escanear más de 8000 servidores SharePoint a nivel mundial y descubrir varias instancias de ataques activos, especialmente alrededor del 18 de julio a las 18:00 UTC y el 19 de julio a las 07:30 UTC”, afirmó la firma de investigación de ciberseguridad Eye.
Dada la naturaleza crítica de esta vulnerabilidad, es imperativo que todos los administradores de SharePoint locales implementen las últimas actualizaciones de seguridad y se adhieran estrictamente a las estrategias de mitigación recomendadas sin demora.
Deja una respuesta