Una vulnerabilidad crítica sin parchear en entornos locales de SharePoint Server está siendo activamente explotada como parte de una campaña de compromiso a gran escala, que ha afectado a más de 75 servidores corporativos alrededor del mundo.

La falla, identificada como CVE-2025-53770 (CVSS 9.8), representa una variante de CVE-2025-49704 (CVSS 8.8), una vulnerabilidad previamente documentada que permite ejecución remota de código mediante deserialización insegura de objetos en el servidor.

“La deserialización de datos no confiables permite a un atacante no autenticado ejecutar código de manera remota en el servidor objetivo”, según lo indica el aviso técnico correspondiente.

Actualmente se están realizando pruebas para validar una actualización de seguridad que mitigue completamente esta falla. Mientras tanto, se ha instado a las organizaciones a adoptar medidas proactivas de protección.

Vectores de ataque y explotación

El fallo permite la ejecución de código sin autenticación previa, mediante la manipulación de cómo SharePoint procesa objetos serializados. Una vez comprometido el sistema, los atacantes pueden extraer claves criptográficas del entorno —específicamente, los valores de ValidationKey y DecryptionKey definidos en MachineKey— para falsificar cargas útiles legítimas de __VIEWSTATE.

Esto facilita la ejecución persistente de comandos, movimiento lateral dentro del entorno comprometido y persistencia prolongada sin ser detectado, ya que el tráfico malicioso imita patrones normales del sistema.

Se han observado técnicas de explotación que utilizan solicitudes POST al endpoint /_layouts/15/ToolPane.aspx, con encabezados HTTP Referer manipulados apuntando a /_layouts/SignOut.aspx. Este comportamiento apunta a una omisión de autenticación mediante falsificación del flujo de sesión, lo que permite el uso combinado de vulnerabilidades para ejecutar cargas útiles remotas.

Posteriormente, se han desplegado cargas ASPX mediante PowerShell, diseñadas para extraer y reutilizar claves criptográficas del servidor. Esto permite generar datos __VIEWSTATE válidos y firmados, aceptados por el servidor como auténticos.

“__VIEWSTATE es un componente esencial en ASP.NET que permite mantener el estado entre solicitudes HTTP, y depende de claves firmadas criptográficamente. Una vez expuestas, estas claves permiten a un atacante enviar cargas arbitrarias firmadas que serán interpretadas como válidas por el servidor.”

La explotación no depende de credenciales válidas ni requiere interacción del usuario. Esto representa un riesgo elevado de compromiso masivo, especialmente en entornos sin visibilidad de bajo nivel ni herramientas de protección en endpoint.

Medidas de mitigación recomendadas

A la espera de una actualización oficial, se recomiendan las siguientes acciones inmediatas:

  • Activar la integración de AMSI (Antimalware Scan Interface) en las instancias locales de SharePoint Server.
  • Implementar soluciones antivirus con capacidad de detección basada en comportamiento en todos los servidores expuestos.
  • Aislar temporalmente los servidores SharePoint de redes externas, si no es posible aplicar protección inmediata.
  • Desplegar soluciones de monitoreo de endpoint para detectar actividades de post-explotación y ejecución de payloads.
  • Auditar y rotar los valores de MachineKey (ValidationKey y DecryptionKey) en entornos donde se sospeche un compromiso.

La integración con AMSI está activada por defecto en versiones actualizadas del producto desde finales de 2023, por lo que se recomienda validar el estado de esta funcionalidad en todos los nodos expuestos.

Alcance del compromiso y persistencia

Se han identificado al menos 85 servidores comprometidos en múltiples regiones, pertenecientes a organizaciones de distintos sectores críticos. La explotación observada es metódica, automatizada y difícil de rastrear sin visibilidad exhaustiva.

El uso de claves MachineKey comprometidas implica que, incluso después de aplicar los parches, los atacantes podrían mantener el acceso si dichas claves no son rotadas manualmente. Esto plantea un desafío operativo significativo y requiere planes de respuesta integral post-parche.

Nuevas vulnerabilidades relacionadas

Además de CVE-2025-53770, se ha identificado una segunda vulnerabilidad relacionada: CVE-2025-53771, destinada a reforzar las mitigaciones contra fallos anteriores que resultaron insuficientes.

Estas dos nuevas vulnerabilidades representan omisiones técnicas en las soluciones anteriores, y su existencia destaca la complejidad de asegurar entornos SharePoint locales frente a actores avanzados.

“El hecho de que estos vectores permitan ejecución de código antes de la autenticación y con claves criptográficas reutilizables indica una exposición estructural crítica que va más allá de un fallo aislado.”

Fuente: thehackernews[.]com

You May Also Like

Un año de ataques de wiper apuntando a Ucrania

wpadmin001

La vulnerabilidad crítica del cargador de arranque en Shim afecta a casi todas las distribuciones de Linux

HKN FEED

Microsoft clasifica a Storm-0501 como una amenaza significativa en los ataques de ransomware en entornos de nube híbrida

HKN FEED