Una vulnerabilidad crítica de día cero activamente explotada en los servidores locales de
Microsoft SharePoint representa una amenaza significativa e inmediata para las organizaciones
de América Latina. La campaña de explotación a gran escala comenzó en torno a este fin de
semana del 18 de julio de 2025
En resumen: Por qué es importante la vulnerabilidad ToolShell
La vulnerabilidad, que afecta a más de 9.000 servidores SharePoint accesibles desde el
exterior, permite a atacantes no autenticados ejecutar código de forma remota, lo que les
otorga el control total de un servidor para robar datos confidenciales, acceder a sistemas de
archivos internos y establecer puertas traseras persistentes que pueden sobrevivir a
posteriores parches y reinicios del sistema.
La Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) de EE.UU. ha
añadido CVE-2025-53770 a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV) y se
clasifica oficialmente como un fallo crítico de ejecución remota de código (RCE) con una
puntuación base del Sistema Común de Puntuación de Vulnerabilidades (CVSS) de 9,8 sobre
10, lo que subraya la gravedad y la amenaza activa que este fallo representa para entidades
tanto del sector público como privado de todo el mundo.
Análisis experto: cómo funciona el ataque y qué deben hacer las organizaciones
Satnam Narang, Ingeniero de investigación Senior de Tenable, ha ofrecido algunos
comentarios sobre cómo las organizaciones deben tratar esta vulnerabilidad específica que aún
no está totalmente parcheada por Microsoft:
"La explotación activa de la vulnerabilidad de día cero de SharePoint durante el fin de semana
tendrá consecuencias de gran alcance para las organizaciones que se vieron afectadas. Los
atacantes fueron capaces de explotar el fallo, ahora identificado como CVE-2025-53770, para
robar los detalles de configuración de MachineKey de los servidores SharePoint vulnerables,
que incluye tanto una validationKey como una decryptionKey. Estos detalles pueden ser
utilizados por los atacantes para crear solicitudes especialmente diseñadas que podrían ser
utilizadas para obtener la ejecución remota de código sin autenticación", dice Satnam Narang,
Ingeniero de investigación Senior de Tenable.
"Las organizaciones que pueden haber sido impactadas podrían identificar la explotación
potencial mediante la búsqueda de indicadores de compromiso, incluyendo un archivo creado
en los servidores vulnerables llamado spinstall0.aspx, aunque puede incluir alguna otra
extensión de archivo. La superficie de ataque para esta vulnerabilidad es grande, con más de
9.000 servidores SharePoint accesibles desde el exterior, y es utilizada por una gran variedad
de organizaciones. Los parches han comenzado a desplegarse a última hora del 20 de julio,
incluyendo correcciones para SharePoint Server 2019 y SharePoint Subscription Edition.
Todavía no está disponible un parche para SharePoint Server 2016, pero se espera que se
publique pronto. Aconsejamos encarecidamente a las organizaciones que comiencen a realizar
investigaciones de respuesta a incidentes para identificar un posible compromiso; de lo
contrario, apliquen los parches disponibles y revisen las instrucciones de mitigación
proporcionadas por Microsoft", añadió Narang.
Impacto en América Latina
"Si bien CVE-2025-53770 es una amenaza global, una confluencia de factores regionales crea
un perfil de riesgo especialmente elevado para las organizaciones de América Latina, donde las
soluciones empresariales de Microsoft, incluido SharePoint Server local, tienen una presencia
profundamente establecida. La rápida pero desigual transformación digital de la región, la
disponibilidad de detalles públicos de explotación a partir del 20 de julio, combinada con su
condición de objetivo principal de un maduro ecosistema de ciberdelincuencia local, crea un
terreno fértil para la explotación donde el impacto de esta vulnerabilidad podría ser
particularmente grave" , finalizó el ingeniero de Tenable.
