Imagine un escenario en el que actores maliciosos logran infiltrarse en la red de una organización sin necesidad de credenciales, acceden a información confidencial e instalan código malicioso, todo ello a través de un único servidor sin actualizar. Esta situación corresponde a la explotación activa de una vulnerabilidad crítica de día cero, identificada como CVE-2025-53770, confirmada por investigadores en ciberseguridad y agencias gubernamentales en julio de 2025.

De acuerdo con reportes públicos, más de 75 organizaciones en América del Norte y Europa —incluyendo entidades gubernamentales y empresas privadas— han sido víctimas de ataques con ransomware, como Warlock, mediante la explotación de servidores SharePoint vulnerables. Esta falla permite la ejecución remota de código arbitrario en instalaciones locales de SharePoint (versiones 2016, 2019 y Subscription Edition), sin requerir autenticación. Cabe destacar que SharePoint Online, incluido en Microsoft 365, no se ve afectado.

Los actores de amenazas están realizando escaneos activos en internet para identificar servidores expuestos y comprometerlos antes de que las organizaciones apliquen los parches correspondientes. Al aprovechar la forma en que SharePoint gestiona datos no confiables, los atacantes pueden robar claves criptográficas, desplegar web shells persistentes e incluso desplazarse lateralmente dentro de la red, lo que incrementa el riesgo de robo de información o ejecución de ransomware.

Medidas recomendadas

Microsoft ha publicado actualizaciones de emergencia para las versiones afectadas con fecha límite al 21 de julio de 2025. Para mitigar los riesgos, se recomienda encarecidamente:

• Aplicar de inmediato los parches de seguridad correspondientes.
• Cambiar las claves de equipo ASP.NET para invalidar posibles credenciales comprometidas.
• En caso de no poder aplicar las actualizaciones de forma inmediata, desconectar los servidores SharePoint con acceso a internet hasta que estén debidamente protegidos.
• Implementar monitoreo continuo para detectar archivos sospechosos o modificaciones no autorizadas en archivos clave, como accesos al archivo “spinstall0.aspx”.

Conclusión

La mejor defensa ante este tipo de amenazas es reducir al mínimo el tiempo entre la publicación de actualizaciones y su implementación. Basta un solo servidor expuesto para comprometer la seguridad de toda una red organizacional.

Referencias:

Microsoft. (2025, julio 18). Customer guidance for SharePoint vulnerability CVE-2025-53770. Microsoft Security Response Center. https://msrc.microsoft.com/blog/2025/07/customer-guidance-for-sharepoint-vulnerability-cve-2025-53770

Palo Alto Networks Unit 42. (2025, julio 29). Active exploitation of Microsoft SharePoint vulnerabilities: Threat brief. https://unit42.paloaltonetworks.com

The Hacker News. (2025, julio 20). Critical unpatched SharePoint zero-day actively exploited. https://thehackernews.com/2025/07/critical-microsoft-sharepoint-flaw.html

Cybersecurity and Infrastructure Security Agency. (2025, julio 20). Update: Microsoft releases guidance on exploitation of SharePoint vulnerabilities. https://www.cisa.gov/news-events/alerts/2025/07/20/update-microsoft-releases-guidance-exploitation-sharepoint-vulnerabilities

SWK Technologies. (2025, julio 25). July 2025 cybersecurity news recap. https://www.swktech.com/july-2025-cybersecurity-news-recap

Diesec. (2025, julio 25). Top 5 cybersecurity news stories – July 2025. https://diesec.com/2025/07/top-5-cybersecurity-news-stories-july-25-2025