Microsoft está corrigiendo dos vulnerabilidades críticas de tipo «zero-day», Estas han sido identificadas como CVE-2025-53770 y CVE-2025-53771, se estima que más de 50 organizaciones ya han sido víctimas de estos ataques.
Es crucial entender qué versiones están en riesgo, los fallos de seguridad afectan a las versiones de instalación local:
- SharePoint Server Subscription Edition.
- SharePoint 2019.
- SharePoint 2016.
La compañía de ciberseguridad ESET advierte que las vulnerabilidades han permitido ataques desde inicios de julio, por lo que la acción inmediata es fundamental para evitar convertirte en la siguiente víctima.
Una buena noticia es que estas vulnerabilidades no afectan a SharePoint 365, la versión en la nube del servicio.
De acuerdo con Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica, llas vulnerabilidades «zero-day» fueron descubiertas y explotadas por atacantes antes de que existiera una solución oficial (´por eso su nombre).
“Puntualmente, lo que hacen estas dos nuevas vulnerabilidades es permitir a un atacante la ejecución de código de forma remota sin necesidad de autenticación y tomar control del servidor de la víctima”, detalló.
En términos más técnicos, Microsoft describe la debilidad como un problema de «deserialización de datos no confiables».
Una amenaza activa y en curso
Estos no son fallos teóricos; los ataques ya están ocurriendo, la campaña de explotación ha sido denominada «ToolShell» y ya ha afectado tanto a compañías privadas como a entidades gubernamentales.
Aunque hay registros de explotación desde el 7 de julio, la actividad se intensificó notablemente los días 18 y 19 de julio, los objetivos de estos ataques han incluido empresas de telecomunicaciones, agencias de gobierno y compañías de software.
El fallo que evade parches anteriores
Lo que hace a esta amenaza particularmente grave es que estas dos nuevas vulnerabilidades logran evadir las correcciones de seguridad que Microsoft lanzó en su actualización de julio.
Esto significa que incluso las organizaciones que aplicaron los parches anteriores pensando que estaban protegidas, en realidad seguían expuestas.
Investigadores explicaron al Washington Post que estos ataques permiten a los criminales extraer claves criptográficas de los servidores.
Con estas claves, pueden instalar prácticamente cualquier cosa, incluyendo «backdoors» o puertas traseras para mantener un acceso persistente al sistema comprometido.
Qué debes hacer ahora mismo para protegerte
La situación exige una acción inmediata y metódica, Microsoft y ESET han delineado una serie de pasos cruciales:
- Instalar los parches: Lo más urgente es verificar tu versión de SharePoint y aplicar las nuevas actualizaciones de seguridad si tu sistema tiene soporte oficial.
- Rotar las claves: Microsoft recomienda rotar las «machine keys» de ASP.NET del servidor de SharePoint.
- Reiniciar los servicios: Después de rotar las claves, es necesario reiniciar los servicios de IIS en todos los servidores de SharePoint de la granja.
- Reforzar la seguridad general: ESET recuerda la importancia de mantener todos los sistemas actualizados, usar contraseñas robustas, activar el doble factor de autenticación y contar con una solución de seguridad en todos los dispositivos.
No es una advertencia, es una orden de acción
La combinación de una explotación activa, la capacidad de evadir parches previos y el poder de otorgar control total a un atacante, convierte a estas vulnerabilidades en una de las amenazas más serias del año para los administradores de sistemas.
No se trata de un riesgo potencial, sino de una amenaza en curso, la recomendación es una: audita tus sistemas y aplica las correcciones de inmediato.
Cada hora de retraso es una ventana de oportunidad para los atacantes.
