Una vulnerabilidad de día cero en SharePoint de Microsoft Corp. sin un parche conocido se está explotando en la naturaleza con investigadores de seguridad que advierten que los atacantes están comprometiendo activamente servidores en múltiples sectores.
La vulnerabilidad, rastreada como CVE-2025-53770 y denominado “Shellshell”, afecta las versiones locales de SharePoint Server 2016, 2019 y la edición de suscripción. La vulnerabilidad se deriva de la deserialización insegura que permite la ejecución de código remoto no autenticada, dando a los atacantes la capacidad de tomar el management de los servidores sin ninguna credencial.
Microsoft confirmó la explotación activa de la vulnerabilidad el 19 de julio y ha emitido una guía provisional, ya que funciona en una solución permanente.
La vulnerabilidad se está aprovechando en una campaña coordinada que fue observada por primera vez por los investigadores de Eye Safety BV el 18 de julio. Según los investigadores, los atacantes están utilizando la falla para implementar una carga útil ASPX maliciosa conocida como “spinstall0.aspx”, que extrae claves de la máquina criptográfica utilizadas por SharePoint. Al obtener las claves, los atacantes pueden forjar tokens Viewstate válidos y mantener un acceso persistente, incluso después de que los servidores estén parcheados.
La seguridad ocular estima que al menos de 75 a 85 servidores ya se han comprometido, con víctimas que abarcan agencias gubernamentales, empresas de telecomunicaciones, instituciones financieras, universidades y proveedores de energía.
Un ataque que busca explotar la vulnerabilidad comienza con una solicitud posterior especialmente elaborada al punto closing Toolpane.aspx de SharePoint que también se combina con un encabezado de referente falsificado que apunta a la página de firmar.aspx. La solicitud luego desencadena la carga y ejecución de la carga útil SpinStall0.aspx, que luego proporciona acceso a la validationKey y DecrytionKey del servidor.
Una vez que un atacante tiene las manos en las claves para el servidor, puede evitar las medidas de seguridad estándar y ejecutar remotamente comandos como un usuario de confianza.
Sin un parche disponible, Microsoft insta a los administradores a habilitar la integración de AMSI e implementar el antivirus de defensor de Microsoft y el defensor para el punto closing para detectar y bloquear los indicadores conocidos de compromiso. La integración de AMSI, o la integración de la interfaz de exploración de antimalware, permite a SharePoint trabajar con soluciones antivirus como Microsoft Defender para escanear y bloquear scripts y cargas maliciosas en tiempo actual antes de que se ejecuten.
La Agencia de Ciberseguridad e Infraestructura de los Estados Unidos también ha orientación emitida Sobre la vulnerabilidad, señalando que si AMSI no se puede habilitar, los usuarios de SharePoint Server deben desconectar productos afectados que sean públicos en Web hasta que estén disponibles las mitigaciones oficiales.
Los analistas también advierten que la mitigación por sí sola es insuficiente si ya se ha producido un compromiso, ya que los atacantes con acceso a las claves de la máquina pueden retener el management. La remediación completa requiere rotación clave, caza de amenazas y eliminación de cualquier caparazón internet implementado.
Imagen: Siliconangle/Reve
Apoye nuestro contenido gratuito abierto compartiendo e interactuando con nuestro contenido y comunidad.
Únete a Thecube Alumni Belief Community
Donde los líderes tecnológicos se conectan, comparten inteligencia y crean oportunidades
11.4k+
Crimson de ex alumnos de cubos
Nivel C y técnico
Expertos en dominio
Conéctese con 11,413+ líderes de la industria de nuestra pink de líderes tecnológicos y empresariales que forman un efecto de pink confiable único.
Siliconangle Media es un líder reconocido en innovación de medios digitales que sirve al público innovador y marcas, que reúne tecnología de vanguardia, contenido influyente, concepts estratégicas y compromiso de audiencia en tiempo actual. Como la empresa matriz de Silicio, red de thecube, Investigación de THECUBE, Cube365, THECUBE AI y los superstudios de TheCube, como los establecidos en Silicon Valley y la Bolsa de Nueva York (NYSE) – Siliconangle Media opera en la intersección de medios, tecnología e IA. .
Fundada por los visionarios tecnológicos John Furrier y Dave Vellante, Siliconangle Media ha construido un poderoso ecosistema de marcas de medios digitales líderes en la industria, con un alcance de más de 15 millones de profesionales de la tecnología de élite. La nueva nube de video de AI de AI de la compañía, está abriéndose en la interacción de la audiencia, aprovechando la pink neuronal de thecubeai.com para ayudar a las empresas de tecnología a tomar decisiones basadas en datos y mantenerse a la vanguardia de las conversaciones de la industria.
