Microsoft lanzó parche de emergencia ante ciberataque en servidores SharePoint

En este mes julio, se detectó un notable incremento en los intentos de ataque dirigidos a organizaciones de telecomunicaciones, agencias gubernamentales y compañías de software, tras haberse identificado vulnerabilidades críticas en SharePoint Server, plataforma de colaboración empresarial de Microsoft. El reciente aumento en la actividad maliciosa se vincula de manera directa con la explotación de dos fallas de seguridad catalogadas como zero-day, que han puesto en riesgo a servidores locales en diferentes países y ya han afectado a más de 50 organizaciones.

Como respuesta, Microsoft lanzó una actualización de emergencia destinada a remediar ambas vulnerabilidades, CVE-2025-53770 y CVE-2025-53771, presentes en las versiones SharePoint Server Subscription Edition, SharePoint 2019 y SharePoint 2016. Cabe destacar que estos fallos solo impactan a los entornos instalados localmente, ya que SharePoint 365 no se ve afectado. La compañía de ciberseguridad ESET señaló que los ataques explotando estas vulnerabilidades comenzaron desde inicios de julio y continúan vigentes, evidenciando la urgencia de implementar las correcciones disponibles.

Ambas vulnerabilidades se distinguieron por evadir parches incluidos en la anterior actualización de seguridad lanzada por Microsoft en julio. Se trata de brechas que permiten a los atacantes ejecutar código de manera remota sin necesidad de autenticación, facilitando el control total sobre los servidores comprometidos. De acuerdo con la explicación brindada por Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica, se denomina “zero-day” a una vulnerabilidad recientemente descubierta y sin un parche disponible, lo que la convierte en un blanco atractivo y efectivo para los cibercriminales.

¿Por qué surgió este problema de seguridad?

La raíz técnica de los problemas se encuentra en la “deserialización de datos no confiables”, como describió Microsoft en su comunicado oficial. Investigadores consultados por Washington Post subrayaron que este tipo de ataque puede permitir extraer claves criptográficas de los servidores afectados, lo cual la puerta a la instalación de diversos tipos de malware y backdoors. Con este tipo de herramientas, los ciberatacantes logran mantener acceso persistente a las redes comprometidas.

La campaña de ataques, conocida como ToolShell, ya ha impactado tanto a empresas privadas como a instituciones gubernamentales, según detalló Cyberscoop. Los primeros registros de explotación datan del 7 de julio, con una posterior escalada en los días mencionados de julio, coincidieron varias compañías de ciberseguridad. Los vectores de ataque han aprovechado la capacidad de ejecutar comandos en los sistemas vulnerables y tomar el control absoluto de los servidores.

El origen de la vulnerabilidad explotada en estos ataques se remonta a mayo, cuando fue detectada inicialmente durante un concurso de hacking celebrado en Berlín. El evento, impulsado por la empresa de ciberseguridad Trend Micro, ofreció recompensas económicas a quienes lograsen identificar fallos informáticos en programas de uso masivo.

En ese contexto, los organizadores habían fijado un incentivo de 100.000 dólares para aquellas pruebas de concepto capaces de demostrar exploits de “día cero”, es decir, herramientas diseñadas para aprovechar debilidades desconocidas hasta ese momento en sistemas populares como SharePoint. Esta iniciativa buscaba promover la detección proactiva de vulnerabilidades en la plataforma de colaboración y gestión documental de Microsoft, antes de que pudieran ser aprovechadas con fines maliciosos en el entorno real. No lo consiguieron.

Ante esta situación, Microsoft recomienda a las organizaciones verificar la versión de SharePoint implementada y asegurarse de que cuente con soporte oficial, lo que permite aplicar las actualizaciones urgentes. Asimismo, la empresa aconseja realizar la rotación de las “machine keys” de ASP.NET y reiniciar IIS en todos los servidores involucrados, para reducir el riesgo de persistencia de las amenazas.

Desde ESET, Gutiérrez Amaya insiste en la importancia de mantener todos los sistemas correctamente actualizados, emplear contraseñas robustas o activar la verificación en dos pasos donde sea posible, instalar soluciones de seguridad confiables en cada dispositivo y mantenerse al tanto de las amenazas emergentes. Estas medidas resultan claves para preservar la integridad de la información y el funcionamiento seguro de los sistemas empresariales frente a ataques de este tipo.