Nuevo exploit de Microsoft SharePoint parcheado en una actualización de seguridad de emergencia

Microsoft ha publicado un parche de seguridad de emergencia que frena los ataques "ToolShell" que afectan a servicios de todo el mundo. Los parches para Microsoft SharePoint Subscription Edition y SharePoint 2019 corrigen dos fallos de seguridad críticos identificados como "CVE-2025-53770" y "CVE-2025-53771".

Actualmente, no hay parches disponibles para SharePoint 2016, pero Microsoft ha indicado que están trabajando en ello. La empresa ha recomendado a los administradores que instalen la actualización "KB5002754" para SharePoint 2019 y la "KB5002768 update" para SharePoint Subscription Edition

Estas vulnerabilidades permiten la ejecución remota de código arbitrario en servidores sin requerir ningún tipo de autenticación. El exploit "CVE-2025-53770" tiene una puntuación CVSS v3 de 9,8 y está siendo explotado activamente in the wild.

Los atacantes tienen como objetivo servidores SharePoint con conexión a Internet, y al menos dos de estos ataques tienen vínculos con los grupos de ransomware "Silk Typhoon" y "Storm-0506", ambos conocidos por tener como objetivo servidores empresariales.

El fallo permite a los atacantes robar claves y suplantar la identidad de los usuarios, incluso si el servidor se reinicia o se parchea. Hasta ahora, las versiones de SharePoint en la nube no parecen ser vulnerables a los ataques.

Los investigadores de seguridad de Eye Security descubrieron por primera vez los fallos el 18 de julio. La Agencia de Ciberseguridad y Seguridad de Infraestructuras de EE.UU. (CISA) ha emitido un aviso para activar Antimalware Scan Interface (AMSI) y Microsoft Defender AV en todos los servidores SharePoint.

Si no se puede habilitar AMSI, se aconseja desconectar inmediatamente de la red los servidores afectados hasta que se resuelva el problema.