Ir al contenido

CVE-2025-53770: el 0-day que sacude a Microsoft SharePoint

Deserialización no autenticada expone a cientos de servidores; aplica el parche de emergencia hoy mismo

Deserialización no autenticada expone a cientos de servidores; aplica el parche de emergencia hoy mismo

3️⃣ Contenido del Artículo

¿Qué es CVE-2025-53770?

El 19 de julio de 2025, Microsoft confirmó un zero-day (CVSS 9.8) que permite ejecución remota de código (RCE) sin autenticación en SharePoint Server 2016, 2019 y Subscription Edition a través de la deserialización de datos no confiables.

Cómo opera el exploit “ToolShell”

El ataque envía un POST malicioso a /ToolPane.aspx, crea el web shell spinstall0.aspx y roba las claves ValidationKey y DecryptionKey. Con ellas, el adversario forja tokens válidos y mantiene acceso persistente incluso después de reinicios o cambios de contraseña.

Alcance del compromiso

Investigadores han documentado al menos 75 organizaciones afectadas en campañas activas dirigidas a entornos on-premise. SharePoint Online no está impactado.

Mitigaciones y parches disponibles

AcciónDetallePrioridad
Instalar actualizacionesKB5002768 (Subscription Edition), KB5002754 (2019), KB5002760 (2016) liberadas el 21 jul 2025Crítica
Activar AMSI en SharePointBloquea cargas maliciosas en el tráfico HTTPAlta
Rotar machine keysImpide el uso de tokens firmados con claves robadasAlta
Revisar WAFCloudflare ya incluyó reglas gestionadas específicas para esta vulnerabilidadMedia

Riesgos para PYMES mexicanas

  • Acceso total al servidor: robo de bases de datos, archivos y credenciales.
  • Movimiento lateral: el atacante reutiliza las claves para infiltrarse en otras aplicaciones .NET internas.
  • Exposición regulatoria: datos personales comprometidos pueden violar la Ley Federal de Protección de Datos y la NOM-151.

Monitoriza y responde

  1. Busca archivos .aspx inesperados en \TEMPLATE\LAYOUTS.
  2. Revisa procesos donde w3wp.exe lance powershell -EncodedCommand.
  3. Audita tráfico saliente hacia IPs desconocidas.

Próximos pasos estratégicos

  • Realiza un assessment de compromiso si tu SharePoint estuvo expuesto a Internet.
  • Documenta lecciones aprendidas y actualiza tu plan de respuesta a incidentes.
  • Considera migrar flujos dependientes de deserialización a alternativas seguras como JSON firmado.

¡Protege tu plataforma con SiteSupremacy!

Nuestro equipo integra parches, despliega WAF de última generación y ejecuta auditorías de ciberseguridad para blindar tu SharePoint y demás aplicaciones .NET.

Agenda hoy tu diagnóstico gratuito en www.sitesupremacy.com.

¡Empieza hoy!

José Mario Rivera Carranza 23 de julio de 2025
Compartir
Archivar
Vulnerabilidad crítica en Microsoft SharePoint: qué está pasando y cómo protegerte
CVE-2025-53770: El exploit que ya está siendo usado contra empresas de todo el mundo