Una grave vulnerabilidad de día cero, identificada como CVE-2025-53770, está siendo activamente explotada en servidores locales de Microsoft SharePoint, afectando a más de 9.000 organizaciones expuestas en todo el mundo.
La amenaza, apodada ToolShell, permite a atacantes no autenticados ejecutar código de forma remota, comprometiendo por completo los sistemas afectados.
Según Microsoft y la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) de EE.UU, el exploit se basa en una cadena de vulnerabilidades que permite a los atacantes extraer claves criptográficas (MachineKey) y generar cargas maliciosas que el servidor interpreta como legítimas.
TE PUEDE INTERESAR: Agencia nuclear de EE.UU. afectada por ciberataque a SharePoint: ya hay más de 100 víctimas
¿Cómo funciona el ataque?
- Según Satnam Narang, Ingeniero de investigación Senior en Tenable, los atacantes han logrado explotar el fallo para acceder a la configuración de seguridad interna del servidor SharePoint.
- “Los atacantes fueron capaces de robar los detalles de MachineKey, incluyendo validationKey y decryptionKey, que les permite generar peticiones personalizadas que dan paso a la ejecución de código de forma remota y sin autenticación”, señaló Narang.
- En otras palabras, una vez comprometido, el servidor queda bajo el control total del atacante, permitiendo robos de datos sensibles, instalación de puertas traseras persistentes e incluso sabotajes que resisten parches y reinicios.
¿Por qué América Latina está especialmente en riesgo?
- La adopción profunda de Microsoft SharePoint en el sector público, educativo y empresarial en la región crea una superficie de ataque extensa.
- Como advierte Narang, la transformación digital desigual, la publicación temprana de los detalles técnicos y la actividad de ciberdelincuentes locales hacen de América Latina un terreno fértil para esta explotación.
- La región enfrenta un perfil de riesgo especialmente alto por:
- Uso extendido de SharePoint Server local en gobiernos, educación y empresas.
- Transformación digital desigual, con infraestructura expuesta y desactualizada.
- Ecosistema de ciberdelincuencia local activo, con grupos que ya han comenzado a explotar la vulnerabilidad.
¿Qué deben hacer las organizaciones?
Microsoft ha publicado parches para:
- SharePoint Server 2019: KB5002754
- Subscription Edition: KB5002768
- SharePoint Server 2016: KB5002760 (disponible desde el 21 de julio)
Foto: Tenable.