En una nueva ola de ciberataques que encendió las alarmas en el sector tecnológico global, Microsoft confirmó este fin de semana que su plataforma SharePoint Server está siendo activamente explotada por atacantes que aprovechan una vulnerabilidad crítica de día cero, identificada como CVE-2025-53771.
De acuerdo con la firma Eye Security, que reveló por primera vez el error, esta falla afecta exclusivamente a las versiones on-premise del software, dejando a miles de organizaciones vulnerables ante accesos no autorizados, robo de datos y compromisos sistémicos.
La vulnerabilidad permite a un atacante autorizado realizar spoofing mediante una técnica de path traversal, accediendo a directorios restringidos en el servidor sin necesidad de privilegios elevados.
En combinación con otra falla crítica (CVE-2025-53770), los atacantes pueden ejecutar código de forma remota y sin autenticación, lo que ha sido bautizado por expertos como el ataque ToolShell.
TE PUEDE INTERESAR: Ley Genius: Estados Unidos establece su primer marco legal para criptomonedas
Impacto global y sectores afectados por ataque a Microsoft SharePoint
- Según The Washington Post, al menos 54 organizaciones han sido comprometidas, incluyendo agencias gubernamentales, universidades, hospitales y empresas energéticas en Estados Unidos y Europa.
- La firma detectó la presencia del archivo malicioso spinstall0.aspx en múltiples servidores, indicador de que los atacantes ya han robado claves criptográficas internas que permiten suplantar solicitudes legítimas dentro del sistema.
- Las versiones afectadas son:
- SharePoint Server 2016 (sin parche disponible aún)
- SharePoint Server 2019
- SharePoint Subscription Edition
- SharePoint Online, la versión basada en la nube de Microsoft 365, no está afectada.
Respuesta de Microsoft y medidas urgentes
- Microsoft ha emitido parches de emergencia para SharePoint 2019 y Subscription Edition:
- Microsoft ha publicado consultas avanzadas para detectar actividad sospechosa en logs de IIS y procesos relacionados con w3wp.exe, así como indicadores de compromiso como la creación del archivo spinstall0.aspx.
- La compañía recomienda:
- Activar AMSI (Antimalware Scan Interface) en modo completo.
- Usar Microsoft Defender Antivirus y Defender for Endpoint.
- Rotar las claves ASP.NET MachineKey después de aplicar los parches.
- Desconectar los servidores expuestos a Internet si no se puede aplicar mitigación inmediata.
Foto: BoliviaInteligente en Unsplash.