.png)
Una nueva y alarmante amenaza sacude el panorama de la ciberseguridad global. Microsoft ha confirmado un ataque masivo y en curso dirigido a sus servidores locales de SharePoint Server. Esta vulnerabilidad, identificada como CVE-2025-53770 (también conocida como ToolShell), permite a los atacantes acceder y controlar sistemas sin autenticación. Lo más preocupante: no hay un parche disponible actualmente. Los expertos instan a la acción inmediata.
CVE-2025-53770: Una Vulnerabilidad de Riesgo Extremo
A diferencia de otras vulnerabilidades que pueden mitigarse con un parche rápido, CVE-2025-53770 representa un desafío mayor. Expertos de Eye Research fueron los primeros en descubrir y alertar sobre esta vulnerabilidad crítica en SharePoint Server local. Microsoft, por su parte, ha reconocido tener "conocimiento de ataques activos". Han emitido una preocupante declaración: "actualmente no hay un parche disponible para esta vulnerabilidad".
El impacto de este fallo es catastrófico. Los atacantes pueden conseguir el control sin autenticación de los servidores. Esto les permite ejecutar código de forma remota, lo que es extremadamente grave. Además, esta vulnerabilidad puede eludir protecciones de identidad como la autenticación multifactor (MFA) y el inicio de sesión único (SSO). Una vez dentro, los atacantes pueden acceder a todo el contenido, archivos del sistema y configuraciones de SharePoint. También pueden moverse lateralmente por todo el dominio de Windows.
Implicaciones a Largo Plazo y Robo de Claves Criptográficas
La gravedad de CVE-2025-53770 se extiende más allá del acceso inicial. Esta vulnerabilidad permite el robo de claves criptográficas. Esto es un riesgo persistente. Un atacante puede suplantar la identidad de usuarios o servicios. Lo peor es que esto es posible incluso después de que el servidor sea parcheado.
Esto significa que, cuando Microsoft finalmente lance una actualización de seguridad, la solución no será tan simple. Será necesario rotar los secretos. Esto invalidará cualquier token futuro que el actor malicioso pueda crear. La amenaza es sistémica. SharePoint se conecta a otros servicios clave de Microsoft, incluyendo Outlook y Teams, y sin olvidar OneDrive. Una explotación exitosa puede conducir a robo de datos, recolección de contraseñas y movimiento lateral a través de la red corporativa.
Medidas de Mitigación Urgentes ante la Amenaza
Ante la falta de un parche oficial, Microsoft Security Response Center trabaja activamente en una actualización. Mientras tanto, se han proporcionado soluciones temporales y recomendaciones críticas para los clientes de SharePoint Server local.
Las medidas de mitigación recomendadas incluyen:
Configurar la integración de la interfaz de análisis antimalware (AMSI) en SharePoint.
Implementar Defender AV en todos los servidores de SharePoint.
Microsoft también ha sido categórico: "Si no puede habilitar AMSI, le recomendamos que considere desconectar su servidor de internet hasta que haya una actualización de seguridad disponible". Esta es una advertencia grave. Resalta la seriedad de los ataques en curso. La comunidad de ciberseguridad monitorea de cerca la situación. Se espera una actualización de emergencia de Microsoft.
