A Fondo
Microsoft parchea SharePoint, pero la alerta sigue siendo crítica
El servicio de gestión documental Microsoft SharePoint se ha convertido en la principal preocupación del verano en materia de ciberseguridad. Aunque Microsoft ha lanzado esta semana parches de emergencia contra las vulnerabilidades críticas observadas y ha publicado otras mitigaciones, la alerta de seguridad está activa por el riesgo para multinacionales y entidades gubernamentales donde se han dirigido especialmente unas campañas de ataques activas y a gran escala que han comprometido servidores de Microsoft en todo el mundo y desde ahí las redes empresariales.
Qué ha pasado con Microsoft SharePoint
El caso se remonta al pasado mes de mayo cuando en el concurso de hacking Pwn2Own de Berlín un grupo de investigadores revelaron dos vulnerabilidades críticas en SharePoint y presentaron una prueba de concepto que definieron como ‘ToolShell’ donde mostraron la posibilidad de explotarlas. Microsoft fue informado de estas fallas 0-Day, dijo haberlas identificadas, las calificó de gravedad crítica y a comienzos de julio lanzó una serie de parches de seguridad que han terminado mostrándose insuficientes.
El pasado fin de semana se alertó de una campaña de ciberataques a gran escala que había conseguido comprometer una serie indeterminada de servidores de Microsoft Sharepoint con una cadena de exploits basados en ToolShell que conseguieron eludir los parches de seguridad publicados. Las vulnerabilidades, identificadas como CVE-2025-53770 y CVE-2025-53771, son críticas porque permiten la ejecución remota de código, suplantación de identidades, ataques laterales en sus redes y acceso persistente.
El número de servidores afectados ha ido aumentando con el paso de los días y es que potencialmente más de 9.000 servidores en línea del servicio estrella para colaboración y gestión documental de Microsoft podrían haber sido comprometidos. Estos servidores se encontraban en redes que abarcaban a grandes empresas multinacionales y de infraestructura crítica, desde auditores a bancos, telecos, compañías de atención sanitaria, grandes empresas industriales y también organismos gubernamentales.
Como ejemplo y aunque no se tiene conocimiento de que alguna información sensible o clasificada haya sido comprometida, destacar que la Administración Nacional de Seguridad Nuclear de Estados Unidos, encargada de mantener y diseñar el arsenal de armas nucleares del país, se encuentra entre las agencias violadas, según información de Bloomberg.
La agencia Reuters asegura que Microsoft conocía el fallo de seguridad de SharePoint, pero no lo solucionó eficazmente. Es la conclusión principal de los expertos de seguridad, incluidos los de la firma Trend Micro, patrocinadores del evento de hacking Pwn2Own donde se revelaron las vulnerabilidades. Los proveedores participantes fueron responsables de corregir y revelar las fallas de seguridad «de manera efectiva y oportuna», explican. «Los parches fallan ocasionalmente y esto ha ocurrido con SharePoint en el pasado», aclaran.
Microsoft pone a China en la diana
Microsoft ha puesto en la diana a varios grupos de piratas informáticos vinculados al gobierno chino, como causantes de los ataques. La firma de Redmond dice que dos actores estatales chinos, Linen Typhoon y Violet Typhoon, han promovido la campaña, y también han identificado a un tercero, Storm-2603, explotando estas vulnerabilidades. Las investigaciones sobre los grupos que están utilizando estos exploits siguen en curso.
El director de tecnología de Google Cloud ha confirmado que al menos uno de los grupos que habían participado en la explotación tenía vínculos con China, si bien no se ha podido determinar si fueron los responsables iniciales. Hay que decir que se publicó en GitHub una prueba de conceto PoC después de que Microsoft publicara los parches, por lo que la cadena de exploits puede estar en manos de bastantes grupos de ciberdelincuentes.
La Embajada de China en EE.UU. respondió a las acusaciones y negó rotundamente cualquier implicación, calificándolas incluso de infundadas. En un comunicado, recalcó su oposición a estos ciberdelitos y expresó: «China se opone firmemente a todas las formas de ciberataques y delitos cibernéticos. Al mismo tiempo, también nos oponemos firmemente a difamar a otros sin pruebas sólidas».
Soluciones para SharePoint
Microsoft ha publicado esta semana parches de seguridad de emergencia que prometen corregir las vulnerabilidades comentadas. Hay que recalcar que son de aplicación para servidores SharePoint locales, ya que la versión on-line del servicio presente en la suite Microsoft 365 no se ha visto afectado:
- La actualización KB5002754 para Microsoft SharePoint Server 2019 Core y KB5002753 para el paquete de idioma de Microsoft SharePoint Server 2019.
- La actualización KB5002760 para Microsoft SharePoint Enterprise Server 2016 y KB5002759 para el paquete de idioma de Microsoft SharePoint Enterprise Server 2016.
- La actualización KB5002768 para Microsoft SharePoint Subscription Edition.
Para los servidores de SharePoint que actualmente no tienen un parche o no pueden aplicarlo de inmediato, Microsoft recomienda otro tipo de mitigaciones adicionales, insistiendo que los clientes deben instalar las últimas actualizaciones de seguridad de SharePoint, habilitar la integración de AMSI en SharePoint e implementar Defender AV en todos los servidores. También se recomienda rotar las claves y reiniciar las instancias.
CISA, la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos, ha recogido la gravedad de la situación emitiendo una alerta donde ha añadido las vulnerabilidades de Microsoft SharePoint a su catálogo de Vulnerabilidades Explotadas Conocidas y ordena a las agencias del Poder Ejecutivo Civil Federal (FCEB) parchear las vulnerabilidades identificadas antes del 23 de julio de 2025.
Alerta máxima
La situación sigue siendo crítica aún con los parches de seguridad. Especialmente preocupante es que las vulnerabilidades permitan a los atacantes suplantar la identidad de usuarios o servicios incluso después de que se hayan instalado los parches en los servidores de SharePoint. Se ha demostrado que pueden mantener el acceso incluso después de que las organizaciones crean que están seguras, lo que es especialmente peligroso.
El resto de soluciones propuestas tampoco aseguran la situación. La firma de seguridad watchTowr Labs ha ideado internamente un método que explota CVE-2025-53770 de tal manera que evita la Interfaz de escaneo Antimalware (AMSI), un paso de mitigación delineado por Microsoft para prevenir ataques no autenticados: «AMSI nunca fue la solución milagrosa, y este resultado era inevitable. Sin embargo, nos preocupa saber que algunas organizaciones están optando por ‘habilitar AMSI’ en lugar de aplicar parches. Es una pésima idea».
Los datos de la consultora Censys muestran que hay 9.762 servidores SharePoint locales en línea, aunque actualmente se desconoce si todos son susceptibles a las vulnerabilidades. Dado que estos servidores son un objetivo lucrativo para los ciberdelincuentes debido a la naturaleza de los datos organizacionales confidenciales que almacenan, es fundamental que los usuarios actúen con rapidez para aplicar las actualizaciones de seguridad, rotar las claves y reiniciar las instancias. Aún con todo ello, la alerta continua y es crítica.
OVHcloud amplía sus soluciones para defensa en Europa y refuerza sus equipos para atender la demanda
Artemis II despega con éxito rumbo a la Luna
España entra en Open Research Europe para impulsar la publicación científica en abierto
Los desafíos de ingeniería para construir los centros de datos para IA más grandes del mundo
ASUS ExpertBook Ultra análisis completo
Proton lanza una alternativa a Google Workspace y Microsoft Office completamente cifrada
Irán, la primera prueba a gran escala de la guerra asistida por IA
AMI Labs: mil millones para una IA diferente sin alucinaciones
Telefónica España compra la consultora especializada en SAP Altim
«El DPO ya participa en los comités de transformación digital»
«Álex es un agente de IA que toma el pulso legal a la sociedad española en tiempo real»
«El canal no es solo un intermediario para D-Link: es nuestro motor en Iberia»
OVHcloud amplía sus soluciones para defensa en Europa y refuerza sus equipos para atender la demanda
Apple presenta los nuevos Studio Display y MacBook Pro
Comisión Europea avanza en soberanía con Euro-3C, un proyecto de infraestructura para telecomunicaciones
El conflicto de Irán y la IA: HBM y el talón de Aquiles llamado Ormuz
Samsung Electronics transforma su fabricación: pondrá en marcha fábricas impulsadas por IA para 2030
Microsoft 365 E7 o cuando los agentes de IA también pagan suscripciones
-
NoticiasHace 7 díasEricsson aprovecha el superordenador europeo Jupiter para desarrollar IA avanzada para 6G
-
NoticiasHace 7 díasApple dice adiós al Mac Pro
-
A FondoHace 4 díasHong Kong vuelve a marcar la agenda tecnológica global: InnoEX y Electronics Fair (Spring Edition) 2026
-
NoticiasHace 4 díasASUS presenta el ‘todo en uno’ para empresas, ExpertCenter P600 AIO