Microsoft SharePoint, una plataforma clave en la gestión documental y colaboración empresarial, ha sido blanco de ataques cibernéticos masivos este verano, encendiendo alarmas de seguridad a nivel global. Estas campañas han afectado a miles de servidores, incluyendo redes de multinacionales, bancos y organismos gubernamentales, como la Administración Nacional de Seguridad Nuclear de EE.UU. A pesar de no haberse constatado fugas clasificadas, la situación es crítica.
El problema comenzó en mayo de 2025, cuando en el evento Pwn2Own Berlín se reveló una serie de vulnerabilidades críticas en SharePoint, bautizadas como ‘ToolShell’. Identificadas con los códigos CVE-2025-49704 y CVE-2025-49706, permitieron la ejecución remota de código sin autenticación. Microsoft reaccionó en julio con parches, pero estos resultaron insuficientes. Durante el fin de semana pasado, se explotaron nuevas vulnerabilidades (CVE-2025-53770 y CVE-2025-53771), permitiendo el robo de claves y acceso total a los servidores afectados.
Al menos 9,700 servidores SharePoint on-premise están vulnerables, y se han confirmado ataques activos en 400 de ellos, durante oleadas entre el 17 y 21 de julio. Los ataques han sido atribuidos a tres grupos vinculados al gobierno chino: Linen Typhoon, Violet Typhoon y Storm-2603, quienes han desplegado, entre otros, el ransomware Warlock.
A pesar de haber aplicado los parches, el riesgo persiste. Los atacantes pueden mantener acceso a través del robo de claves internas de SharePoint, lo que subraya la necesidad de acciones más contundentes. watchTowr Labs ha advertido sobre la insuficiencia de soluciones como AMSI, recomendando la rotación de claves y reinicio de servidores.
Microsoft, junto a la CISA, ha emitido nuevas actualizaciones y llamado a la acción urgente para prevenir la explotación de estas vulnerabilidades. Las empresas deben aplicar los últimos parches, rotar las Machine Keys, buscar indicadores de compromiso y, si es necesario, aislar o apagar servidores comprometidos.
Este incidente destaca la vulnerabilidad de los sistemas on-premise frente a ataques sofisticados, cuestionando la rapidez y eficacia de las respuestas ante tales amenazas. La situación exige una acción inmediata para evitar compromisos silenciosos en las organizaciones mundiales.
Más información y referencias en Noticias Cloud.
