Una grave vulnerabilidad de día cero en Microsoft SharePoint desencadenó una ola de ciberataques que comprometió a más de 100 organizaciones en todo el mundo, incluyendo a la Administración Nacional de Seguridad Nuclear (NNSA) de Estados Unidos.
Esta agencia, responsable del diseño, mantenimiento y desmantelamiento del arsenal nuclear del país, fue una de las víctimas de una campaña de intrusión atribuida a grupos de hackers patrocinados por el Estado chino, según informes de Microsoft y Bloomberg.
El ataque explotó dos fallas críticas en versiones locales de SharePoint Server, identificadas como CVE-2025-53770 y CVE-2025-53771, que permiten la ejecución remota de código sin autenticación. Estas vulnerabilidades fueron descubiertas en mayo durante el concurso de hacking Pwn2Own Berlín, y desde el 7 de julio han sido utilizadas activamente en una campaña global conocida como ToolShell.
Los atacantes lograron acceder a servidores vulnerables, robar claves criptográficas (como las MachineKeys de ASP.NET), instalar puertas traseras y mantener acceso persistente incluso después de reinicios o actualizaciones.
TE PUEDE INTERESAR: OpenAI prueba una IA capaz de razonar como un matemático olímpico
Quién está detrás del ataque a Microsoft SharePoint
- Microsoft ha atribuido los ataques a tres grupos vinculados al gobierno chino:
- Linen Typhoon
- Violet Typhoon
- Storm-2603
- Estos grupos han sido asociados con campañas de espionaje y robo de propiedad intelectual en sectores estratégicos.
- Microsoft ha lanzado parches de emergencia para todas las versiones afectadas de SharePoint Server, incluyendo:
- SharePoint Server Subscription Edition
- SharePoint Server 2019
- SharePoint Server 2016
- La Agencia de Ciberseguridad y Seguridad de Infraestructura de EE.UU. (CISA) ha exigido a las agencias federales aplicar los parches antes del 21 de julio.
- El ataque ha afectado a gobiernos, universidades, empresas energéticas y entidades financieras en países como Alemania, Reino Unido, Australia y Estados Unidos.
- Se estima que más de 9.000 servidores SharePoint expuestos públicamente podrían estar en riesgo.
Impacto en la NNSA
- Aunque el Departamento de Energía confirmó que la NNSA fue afectada, aseguró que el impacto fue mínimo gracias al uso generalizado de Microsoft 365 en la nube, que no se vio comprometido.
- Solo un número reducido de sistemas locales fue vulnerado, y todos están siendo restaurados.
Foto: Pankaj Patel en Unsplash.