Microsoft publicó una actualización de emergencia para corregir dos vulnerabilidades zero-day en SharePoint Server que fueron explotadas activamente desde principios de julio. Las fallas afectan a versiones locales de la plataforma y permitieron ataques sobre servidores en diferentes países.
Las vulnerabilidades, identificadas como CVE-2025-53770 y CVE-2025-53771, impactan en SharePoint Server Subscription Edition, SharePoint 2019 y SharePoint 2016. No se reportaron incidencias en SharePoint 365, la versión basada en la nube. Según informó la empresa de ciberseguridad ESET, más de 50 organizaciones sufrieron ataques que aprovecharon estas debilidades.
Naturaleza y alcance de las vulnerabilidades
El término zero-day hace referencia a una vulnerabilidad recientemente descubierta para la cual no existe un parche disponible al momento de su detección. Estas fallas permiten a un atacante ejecutar código de forma remota sin necesidad de autenticarse y tomar control del servidor afectado, explicó Camilo Gutiérrez Amaya, jefe del laboratorio de investigación de ESET Latinoamérica.
Microsoft describió las vulnerabilidades como un problema de “deserialización de datos no confiables”. Investigadores citados por The Washington Post señalaron que estos ataques posibilitan la extracción de claves criptográficas de servidores que operan SharePoint. Con dichas claves, actores maliciosos pueden instalar software malicioso, incluidos backdoors que aseguran acceso persistente.
Desde la detección de estas debilidades, los ataques denominados “ToolShell” han tenido como blanco tanto empresas privadas como entidades gubernamentales, según reportó Cyberscoop. Aunque la actividad comenzó a registrarse el 7 de julio, se intensificó notablemente entre el 18 y 19 de ese mes, afectando sectores como telecomunicaciones, agencias estatales y compañías de software.
Recomendaciones y medidas de mitigación
Microsoft instó a las organizaciones a verificar la versión de SharePoint en uso y confirmar que cuenten con soporte oficial para poder instalar los parches disponibles. También aconsejó rotar las “machine keys” de ASP.NET en los servidores afectados y reiniciar el servicio IIS para asegurar la aplicación de las correcciones.
El directivo de ESET agregó: “Como siempre, desde ESET recomendamos a los usuarios mantener todos los sistemas actualizados, establecer contraseñas robustas o activar el doble factor de autenticación en los servicios que lo permitan, contar con una solución de seguridad instalada en todos los dispositivos y mantenerse informados sobre las últimas amenazas”.
Estas acciones buscan minimizar el riesgo de compromiso y preservar la integridad de los sistemas ante posibles ataques que aprovechen vulnerabilidades sin parche. La actualización de Microsoft representa una respuesta inmediata ante la explotación activa detectada.
Contexto y seguimiento de amenazas
Las vulnerabilidades en SharePoint Server se suman a una serie de desafíos en materia de seguridad informática para las organizaciones que operan con infraestructura local. La rápida difusión de parches es fundamental para evitar el aprovechamiento por parte de actores maliciosos.
ESET indicó que la campaña de ataques “ToolShell” evidencia una estrategia coordinada para obtener acceso a sistemas críticos mediante la explotación de fallas recientes. La empresa de seguridad publicó información detallada y recursos para usuarios en su portal oficial.
El laboratorio de investigación enfatizó la importancia de la prevención y la actualización constante frente a un panorama de amenazas en evolución. La coordinación entre proveedores de software y usuarios finales resulta clave para contener riesgos.
Para ampliar información, ESET mantiene disponible en línea un informe completo y un podcast especializado en seguridad digital que analizan la situación y aconsejan sobre mejores prácticas.
“Estos ataques permiten a los atacantes extraer claves criptográficas de servidores de clientes que corren SharePoint y con estas claves pueden instalar cualquier cosa; incluso backdoors que permitirían a actores maliciosos mantener una puerta abierta para volver”, detalló un informe citado por The Washington Post.
La coordinación entre los distintos actores involucrados en la cadena de seguridad informática resulta un factor determinante para mitigar impactos y garantizar la continuidad operativa ante esta clase de amenazas.
