Detección de CVE-2025-53770: Vulnerabilidad Zero-Day en Microsoft SharePoint está siendo activamente explotada para ataques RCE
Tabla de contenidos:
Este verano se produjo un aumento de vulnerabilidades críticas que afectaron a productos de Microsoft. Una nueva vulnerabilidad RCE en Windows, identificada como CVE-2025-33053, fue activamente explotada por el grupo APT Stealth Falcon. Al mismo tiempo, se descubrió otra falla grave, denominada EchoLeak (CVE-2025-32711), en Microsoft Copilot, que permitía la exfiltración silenciosa de datos vía correo electrónico sin requerir interacción del usuario.
Con estas vulnerabilidades aún recientes, la atención se ha desplazado hacia otra amenaza de alto impacto conocida como ToolShell. La nueva vulnerabilidad zero-day (CVE-2025-53770) utilizada en estos ataques es una variante del fallo RCE en SharePoint recientemente parcheado (CVE-2025-49704), actualmente explotado activamente. Los atacantes la aprovechan para desplegar puertas traseras en servidores SharePoint locales comprometidos y extraer claves de seguridad, permitiendo una posible toma total del sistema.
Detectar intentos de explotación de CVE-2025-53770
Con más de 1.4 mil millones de dispositivos ejecutando Windows y una dependencia global de sus servicios, Microsoft se mantiene en el centro del ecosistema digital actual. El informe BeyondTrust sobre vulnerabilidades en productos Microsoft de 2025 reveló un récord de 1.360 vulnerabilidades divulgadas en 2024, un aumento del 11 % respecto al máximo anterior. Esta tendencia ascendente subraya la creciente superficie de ataque y la urgente necesidad de que las organizaciones se adapten proactivamente a un panorama de amenazas en constante evolución.
Regístrate en la Plataforma SOC Prime para acceder a inteligencia de amenazas en tiempo real y algoritmos de detección curados para abordar intentos de explotación de CVE-2025-53770. La plataforma también proporciona a los equipos SOC una suite completa de productos para ingeniería de detección impulsada por IA, threat hunting automatizado y detección avanzada de amenazas.
Los defensores que buscan más contenido de detección relacionado con la explotación de vulnerabilidades pueden navegar el Threat Detection Marketplace usando la etiqueta “CVE”.
Todas las detecciones son compatibles con diversas tecnologías SIEM, EDR y Data Lake, y están alineadas con el marco MITRE ATT&CK para facilitar la investigación de amenazas. La Plataforma SOC Prime proporciona contenido de detección enriquecido con enlaces de CTI, líneas de tiempo de ataques, configuraciones de auditoría, recomendaciones de triaje y más contexto relevante.
Los ingenieros de seguridad también pueden aprovechar Uncoder AI—una IA privada y no agente diseñada para ingeniería de detección basada en amenazas. Con Uncoder, los defensores pueden convertir automáticamente IOCs en consultas de hunting accionables, generar reglas de detección a partir de informes de amenazas, habilitar predicción de etiquetas ATT&CK, optimizar consultas mediante IA y traducir contenido de detección entre plataformas.
Análisis de CVE-2025-53770
Dos vulnerabilidades zero-day críticas en Microsoft SharePoint, identificadas como CVE-2025-53770 y CVE-2025-53771, han sido utilizadas en ataques activos desde al menos el 18 de julio, sin que se haya lanzado un parche oficial, y con más de 85 servidores afectados en todo el mundo.
CVE-2025-53770, una vulnerabilidad de seguridad altamente crítica con un CVSS de 9.8, se considera una variante del fallo CVE-2025-49704 ya parcheado, una vulnerabilidad de inyección de código y RCE abordada por Microsoft en su actualización de julio 2025. La actividad de explotación denominada “ToolShell” permite a atacantes obtener acceso no autenticado a sistemas vulnerables, otorgando control completo sobre el contenido de SharePoint, incluyendo almacenamiento de archivos y configuraciones internas, y posibilitando ejecución remota de código a nivel de red.
CVE-2025-53770 implica la deserialización de datos no confiables en instancias locales de SharePoint, permitiendo RCE a atacantes no autenticados a través de la red. Tras obtener acceso, los adversarios pueden falsificar cargas útiles confiables para lograr persistencia o movimiento lateral mientras se hacen pasar por operaciones legítimas de SharePoint.
En la guía para clientes, Microsoft confirmó que adversarios están explotando activamente vulnerabilidades en sistemas SharePoint Server locales, que solo fueron parcialmente mitigadas en la actualización de seguridad de julio. Ambos fallos de seguridad afectan únicamente a implementaciones on-premises; SharePoint Online en Microsoft 365 no se ve afectado.
Para mitigar completamente los riesgos asociados a las vulnerabilidades mencionadas, el proveedor ha lanzado actualizaciones de seguridad para SharePoint Subscription Edition y SharePoint Server 2019. La compañía recomienda enfáticamente instalar estas actualizaciones sin demora para proteger los entornos. Microsoft también declaró que una solución completa se encuentra en fase de pruebas y será lanzada en una futura actualización.
Hasta que se publique el parche definitivo, el proveedor recomienda activar la integración con AMSI en SharePoint y ejecutar Microsoft Defender Antivirus en todos los servidores SharePoint. Si no se puede habilitar AMSI, los servidores vulnerables deben desconectarse de Internet como medida preventiva.
El 20 de julio, CISA emitió una alerta confirmando la explotación activa de CVE-2025-53770. Como medidas de mitigación, CISA insta a las organizaciones a revisar las actualizaciones de seguridad de Microsoft, monitorear solicitudes POST sospechosas hacia /ToolPane.aspx?DisplayMode=Edit, escanear IPs como 107.191.58[.]76, 104.238.159[.]149 y 96.9.125[.]147, actualizar reglas IPS/WAF, habilitar logging detallado de eventos y reducir privilegios de diseño y administración.
CISA colaboró rápidamente con Microsoft para coordinar la respuesta y alertar a las organizaciones sobre las mitigaciones esenciales. Este caso resalta el papel crítico de la colaboración operativa entre investigadores, proveedores tecnológicos y CISA para permitir una identificación rápida de amenazas y una defensa unificada que proteja la seguridad nacional.
La defensa cibernética colectiva y la coordinación entre gobiernos, proveedores del sector privado y la comunidad de investigadores en seguridad son esenciales para contrarrestar actores de amenazas modernos, permitiendo detección, respuesta y resiliencia más rápidas ante ataques de creciente sofisticación. La Plataforma SOC Prime, basada en principios de zero-trust y respaldada por IA, automatización e inteligencia de amenazas en tiempo real, ayuda a las organizaciones globales a superar amenazas que explotan vulnerabilidades críticas y zero-days mientras construyen una postura de ciberseguridad resiliente.
