Nota del editor: Este es un análisis invitado de Christopher Budd, quien anteriormente pasó una década en el Microsoft Safety Response Middle (MSRC).
Los equipos de seguridad de emergencia saben que los fines de semana de verano están hechos para el trabajo.
El fin de semana pasado fue un recordatorio de esa verdadera industria con la vulnerabilidad de SharePoint de Microsoft (CVE-2025-53770). Es una vulnerabilidad clásica de “ejecución de código remoto” que solo afecta a los servidores de SharePoint locales. Puede dar a un atacante management whole sobre un sistema sin autenticación. Si puede acceder al sistema en Web, puede atacarlo y asumirlo.
Vimos atacantes en todo el mundo que lo usaban rápidamente para establecer un punto de apoyo en las redes vulnerables, con frecuencia utilizando webshells como vimos que sucedió con Microsoft Change en 2012 y 2022 con el Proxyshell y Proxynotshell ataques. Los ataques fueron otra situación clásica de “día cero”, con una nueva vulnerabilidad bajo ataque y sin parche inicialmente disponible.
Esta vez, Microsoft publicó información ampliamente en un día y comenzó a lanzar parches dentro de los dos días posteriores a la ruptura del evento, una velocidad de respuesta casi sin precedentes para ellos. Los ejecutivos de Microsoft corrieron la voz con cada nuevo desarrollo, proporcionando una dirección clara y urgente.
Ciertamente, cuando miramos la respuesta, fue más rápido y mejor de lo que vimos con Proxynotshell. Fue otro ejemplo de Microsoft que muestra que cuando es necesario, puede extraer las paradas con su respuesta de seguridad, al igual que lo hizo con Solarwinds en diciembre de 2020.
Microsoft también ha dirigido recientemente los tipos de infracciones importantes que plagaron a la compañía desde marzo de 2022 hasta enero de 2024, cuando los sistemas corporativos y en la nube fueron violados por tres grupos de actores de amenazas principales (Lapsu $, Tormenta-0558, Tormenta de medianoche).
Tomado en whole, podemos pensar en esto como un incendio forestal identificado y contenido relativamente rápido. Hay daños por ello, y los equipos están saliendo (otro) fin de semana de verano muy largo. Pero en comparación con lo que esto podría haber sido, esta situación period simplemente mala, no horrible.
Sin embargo, esta vulnerabilidad también expone una tensión basic: mientras que la respuesta de Microsoft fue ejemplar, el hecho de que todavía estamos viendo fallas críticas de día cero en los productos locales plantea preguntas sobre dónde encajan estos sistemas en el futuro de Microsoft centrado en la nube y enfocado en AI.
¿Dónde se prioriza la obtención de software program native como Change, SharePoint y, sí, Home windows (que incluye Activedirectory) en la iniciativa segura de la compañía?
La máquina bien engrasada del martes que yo y otros ayudamos a construir a principios de la década de 2000 continúan avanzando. Pero el número de parches continúa aumentando y el nivel de innovación y desarrollo en torno al martes de parche generalmente ha disminuido en los últimos años.
Como ejemplo, Microsoft prometió parches de “no reiniciar” a fines de la década de 2000. Recuerdo claramente que prometimos esto como “próximamente” en las transmisiones net de Boletín de seguridad que presenté entonces. Pero los parches sin reboot nunca se materializaron en ese momento.
Mientras Microsoft está cumpliendo esta promesa, finalmente, ha llevado más de 15 años, y la compañía la está implementando de una manera que se centra claramente en el espacio empresarial, a un costo para los usuarios y vinculada a las ofertas en la nube de la compañía.
En la period precise de la nube y el AI, muchas organizaciones aún dependen de sistemas locales como SharePoint para operaciones esenciales. La rápida respuesta de Microsoft a esta última vulnerabilidad demuestra que puede aumentar a la ocasión. Pero a medida que la compañía acelera su agenda en la nube primero, es justo preguntar: ¿El software program native recibirá el mismo nivel de atención e innovación?
El último incendio puede estar fuera, pero esa pregunta ardiente sigue siendo.
