Una grave vulnerabilidad de ejecución remota de código, identificada como CVE-2025-53770, está siendo activamente explotada por atacantes a nivel mundial, generando alarmas en la industria. Este defecto, que afecta a los servidores locales de Microsoft SharePoint, permite a los intrusos acceder sin autenticación a sistemas comprometiendo archivos y configuraciones internas.
¡Cuidado, usuarios de SharePoint!
Microsoft ha instado a los usuarios de SharePoint a que configuren adecuadamente la interfaz de escaneo antimalware o desconecten sus servidores de Internet hasta que se libere un parche de emergencia. Hasta ahora, se han lanzado parches para dos de las tres versiones afectadas, pero aún se espera una solución para SharePoint Server 2016. La situación se tornó crítica rápidamente, con cientos de organizaciones, incluidas entidades gubernamentales y privadas en EE. UU., Alemania, Francia y Australia, ya comprometidas.
Los investigadores han observado que los atacantes utilizan la vulnerabilidad conocida como “ToolShell” para infiltrar redes y han confirmado el robo de claves criptográficas, así como la exfiltración de datos sensibles. Expertos advierten que esta vulnerabilidad refleja un bypass a parches anteriores en Microsoft y que los atacantes están implementando puertas traseras persistentes para mantener el acceso a largo plazo.
La Agencia de Ciberseguridad e Infraestructura (CISA) de Estados Unidos ha emitido alertas sobre los ataques actuales y ha añadido la vulnerabilidad a su catálogo de defectos explotados. En este contexto, se han identificado al menos, dos oleadas de ataques y se advierte a las organizaciones con instancias vulnerables de SharePoint en línea que deben investigar posibles compromisos y estar preparadas para rotar las claves afectadas.
Esta situación subraya la gravedad de los riesgos asociados con la exposición de servidores SharePoint a Internet. Los expertos sugieren que la desconexión temporal de los servidores es una medida urgente hasta que se dé una solución definitiva.