Hackers aprovecharon una vulnerabilidad crítica en servidores autogestionados de Microsoft, lo que expuso a miles de organizaciones a intrusiones que comprometieron sistemas internos, archivos y credenciales. Este fallo afectó directamente a SharePoint, una herramienta clave usada por empresas y agencias gubernamentales para almacenar y administrar documentos internos.
El error, identificado como CVE-2025-53770, fue calificado con una severidad de 9.8 sobre 10 y permitió a los atacantes extraer claves digitales de los servidores sin necesidad de autenticación. A partir de ahí, pudieron ejecutar comandos remotos, plantar puertas traseras y moverse lateralmente por redes internas.
Miles de empresas con SharePoint fueron vulneradas
Según Eye Security, los ataques se registraron en dos oleadas el 18 y 19 de julio, comprometiendo servidores en distintas regiones del mundo. Las claves robadas permitieron a los intrusos crear solicitudes falsas que el sistema aceptó como válidas. Esta técnica posibilitó la ejecución de código sin intervención del usuario.
Investigadores descubrieron que los atacantes usaron una variante del malware «ToolShell», que manipuló funciones internas del entorno .NET para acceder a configuraciones críticas del servidor. Desde ahí, extrajeron el ‘ValidationKey’, lo que les dio control total sobre los procesos de validación de datos internos en SharePoint.
Organizaciones afectadas incluyeron agencias federales de EE. UU., universidades, empresas energéticas y proveedores de telecomunicaciones. La compañía Censys estimó que más de 10.000 organizaciones podrían estar en riesgo. Microsoft publicó actualizaciones parciales, pero no todas las versiones afectadas han recibido parches definitivos.
Recomendaciones de emergencia
La Agencia de Ciberseguridad y Seguridad de Infraestructura de EE. UU. (CISA) aconsejó a las organizaciones desconectar sus servidores SharePoint de Internet hasta que apliquen las actualizaciones y roten las claves internas comprometidas. Expertos de Palo Alto Networks señalaron que si el servidor está expuesto públicamente, se debe asumir que ya ha sido violado.
El caso recordó ataques anteriores contra servicios de Microsoft, incluidos incidentes atribuidos a grupos patrocinados por gobiernos extranjeros. Aún no se ha confirmado quién está detrás de la explotación activa de esta nueva vulnerabilidad.
