Resumen Ejecutivo
El 19 de julio de 2025, Microsoft lanzó un aviso de emergencia para CVE-2025-53770, una vulnerabilidad crítica de ejecución remota de código que afecta a servidores SharePoint on-premise. Con una puntuación CVSS de 9.8 y explotación activa como zero-day ya en curso, esta vulnerabilidad representa uno de los incidentes de seguridad de SharePoint más severos en memoria reciente.
La vulnerabilidad se origina de la deserialización inadecuada de datos no confiables en el endpoint ToolPane.aspx. Cuando se combina con el bypass de autenticación en CVE-2025-53771, los atacantes pueden lograr ejecución remota de código no autenticada—el peor escenario para cualquier aplicación empresarial. En 72 horas desde que un proof-of-concept estuvo públicamente disponible, las campañas de explotación masiva comenzaron a atacar organizaciones en todo el mundo.
Lo que hace a CVE-2025-53770 particularmente peligrosa es su impacto post-explotación. Los atacantes no solo ejecutan código; extraen la configuración criptográfica MachineKey del servidor, habilitando acceso persistente que sobrevive al parcheo. Las organizaciones no solo deben aplicar parches sino también rotar claves criptográficas y realizar evaluaciones exhaustivas de compromiso.
Hallazgos Clave
Clasificación de severidad crítica
Tiempo desde divulgación hasta ataques masivos
Intentos diarios pico observados
Recompensa por descubrimiento original
Sistemas Afectados y Parches
CVE-2025-53770 afecta todas las instalaciones de SharePoint Server on-premise. SharePoint Online en Microsoft 365 no está impactado. Microsoft lanzó parches que abordan la vulnerabilidad—las organizaciones deben aplicarlos inmediatamente.
| Producto | Build Corregido | Artículo KB | Estado |
|---|---|---|---|
| SharePoint Server Subscription Edition | 16.0.18526.20508 | KB5002768 | Parche Disponible |
| SharePoint Server 2019 | 16.0.10417.20037 | KB5002754 | Parche Disponible |
| SharePoint Enterprise Server 2016 | 16.0.5513.1001 | KB5002760 | Parche Disponible |
| SharePoint Online (Microsoft 365) | N/A | N/A | No Afectado |
Cadena de Ataque ToolShell
Bypass de Autenticación (CVE-2025-53771)
Los atacantes envían solicitudes POST a /_layouts/15/ToolPane.aspx con un header Referer manipulado apuntando a /_layouts/SignOut.aspx. Esto engaña a SharePoint para tratar la solicitud como confiable, evadiendo completamente las verificaciones de autenticación.
Ejecución Remota de Código (CVE-2025-53770)
Con la autenticación evadida, los atacantes envían payloads serializados maliciosos en el cuerpo de la solicitud POST. El proceso de deserialización vulnerable ejecuta comandos PowerShell embebidos del lado del servidor, logrando ejecución de código arbitrario.
Persistencia vía Robo de Claves
Los atacantes despliegan un web shell (spinstall0.aspx) y extraen la ValidationKey y DecryptionKey del servidor de la configuración MachineKey. Estos secretos criptográficos habilitan la falsificación de tokens de autenticación y payloads ViewState indefinidamente.
Línea de Tiempo de Explotación
Análisis Técnico
La causa raíz de CVE-2025-53770 está en el manejo de SharePoint de datos serializados dentro del endpoint ToolPane.aspx. Este componente, diseñado para la funcionalidad de gestión de web parts de SharePoint, acepta objetos serializados sin validación adecuada. Cuando se combina con el bypass de autenticación en CVE-2025-53771, la superficie de ataque se expande a atacantes remotos no autenticados.
El bypass de autenticación explota una falla lógica en cómo SharePoint procesa el header HTTP Referer. Al establecer este header a /_layouts/SignOut.aspx, los atacantes activan una ruta de código destinada a operaciones de logout que inadvertidamente otorga confianza a la solicitud. Esto representa una debilidad arquitectónica fundamental—las decisiones de autenticación nunca deben depender de headers suministrados por el cliente.
Lo que eleva esta vulnerabilidad de severa a catastrófica es el mecanismo de persistencia post-explotación. Los valores de MachineKey extraídos (ValidationKey y DecryptionKey) son claves criptográficas simétricas usadas para proteger ViewState y tokens de autenticación. Con estas claves, los atacantes pueden falsificar credenciales de autenticación válidas independientemente, manteniendo acceso incluso después de que la vulnerabilidad esté parcheada y el web shell sea removido.
Indicadores de Compromiso
Direcciones IP Maliciosas
107.191.58.76, 104.238.159.149, 96.9.125.147 — observadas en olas de explotación iniciales. Bloquear en el perímetro e investigar conexiones históricas.
Artefacto de Web Shell
spinstall0.aspx desplegado en el directorio \TEMPLATE\LAYOUTS\. SHA256: 92bb4ddb98eeaf11fc15bb32e71d0a63256a0ed826a03ba293ce3a8bf057a514
Endpoint Objetivo
Solicitudes POST a /_layouts/15/ToolPane.aspx o /_layouts/ToolPane.aspx con SignOut.aspx en el header Referer indican intentos de explotación.
String User-Agent
Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:120.0) Gecko/20100101 Firefox/120.0 — usado en ataques observados, aunque fácilmente modificable.
Estrategias de Mitigación
Aplicar Actualizaciones de Seguridad Inmediatamente
Instalar KB5002768 (Subscription Edition), KB5002754 (2019), o KB5002760 (2016) sin demora. Estos parches abordan tanto la falla de deserialización como el bypass de autenticación.
Realizar Evaluación de Compromiso
Buscar spinstall0.aspx u otros archivos ASPX anómalos en el directorio LAYOUTS. Revisar logs de IIS para solicitudes POST a ToolPane.aspx con headers Referer sospechosos.
Rotar Claves Criptográficas
Si se sospecha o confirma compromiso, rotar la configuración MachineKey (ValidationKey y DecryptionKey). Sin este paso, los atacantes retienen la capacidad de falsificar credenciales.
Habilitar Integración AMSI
Microsoft recomienda habilitar la integración AMSI (Antimalware Scan Interface) en SharePoint para detectar payloads maliciosos durante la deserialización.
Desplegar Protección de Endpoint
Asegurar que Microsoft Defender o AV equivalente esté desplegado en todos los servidores SharePoint con protección en tiempo real habilitada. Las firmas de detección para spinstall0.aspx están disponibles.
Implementar Protección WAF
Desplegar reglas de web application firewall para detectar y bloquear intentos de explotación que apunten a ToolPane.aspx. Filtrar solicitudes con headers Referer sospechosos.
Restringir Acceso Externo
Si el acceso externo a SharePoint no es crítico para el negocio, restringir endpoints /_layouts/ solo a redes internas usando reglas de firewall o configuración de reverse proxy.
CVE-2025-53770 demuestra la compresión del ciclo de vida de vulnerabilidades. Desde PoC público hasta explotación masiva en 72 horas no deja espacio para ciclos de parcheo tradicionales. Las organizaciones deben: (1) mantener inteligencia de vulnerabilidades en tiempo real, (2) tener procedimientos de parcheo de emergencia preautorizados, (3) desplegar controles compensatorios como WAF mientras parchean, y (4) asumir brecha y prepararse para evaluación de compromiso. La naturaleza de bypass de parche de esta vulnerabilidad también resalta que los parches iniciales pueden ser insuficientes—el monitoreo continuo de nuevos CVEs que afecten el mismo componente es esencial.
Cómo TR7 Protege Contra Explotación de SharePoint
Reglas WAF de Deserialización
El Web Application Firewall de TR7 incluye reglas para detectar y bloquear patrones de ataque de deserialización, incluyendo aquellos que apuntan a endpoints de SharePoint.
Detección de Manipulación de Headers
La inspección avanzada de solicitudes identifica combinaciones de headers sospechosas, incluyendo manipulación del header Referer usada en ataques de bypass de autenticación.
Políticas de Control de Acceso
Las reglas de control de acceso granulares pueden restringir el acceso a endpoints administrativos sensibles como /_layouts/ solo a redes autorizadas.
Análisis de Amenazas en Tiempo Real
Monitoreo y alertas continuos para intentos de explotación. Identifique patrones de ataque e IOCs a través de su infraestructura.
Logging Integral
El logging detallado de solicitudes habilita análisis forense y evaluación de compromiso. Correlacione intentos de ataque con inteligencia de IOC.
Respuesta Automatizada de Amenazas
Bloqueo automatizado de IPs maliciosas conocidas y patrones de ataque. Reduzca el tiempo de mitigación de horas a segundos.
Referencias y Fuentes
Análisis técnico completo de explotación de CVE-2025-53770, incluyendo IOCs, línea de tiempo de ataque y guía de detección. https://www.rapid7.com/blog/post/etr-zero-day-exploitation-of-microsoft-sharepoint-servers-cve-2025-53770/
Guía oficial de Microsoft para clientes sobre CVE-2025-53770, incluyendo información de parches y mitigaciones recomendadas. https://msrc.microsoft.com/blog/2025/07/customer-guidance-for-sharepoint-vulnerability-cve-2025-53770/
Detalles sobre las reglas WAF de emergencia de Cloudflare y volumen de ataque observado (300K intentos en el pico). https://blog.cloudflare.com/cloudflare-protects-against-critical-sharepoint-vulnerability-cve-2025-53770/
Análisis del equipo de seguridad de la cadena de exploit ToolShell y recomendaciones para equipos de seguridad. https://blog.checkpoint.com/research/sharepoint-zero-day-cve-2025-53770-actively-exploited-what-security-teams-need-to-know/
Entrada oficial de la National Vulnerability Database con puntuación CVSS y detalles técnicos. https://nvd.nist.gov/vuln/detail/CVE-2025-53770
Perspectiva de seguridad en la nube sobre CVE-2025-53770 y CVE-2025-53771, incluyendo estrategias de detección. https://www.wiz.io/blog/sharepoint-vulnerabilities-cve-2025-53770-cve-2025-53771-everything-you-need-to-k
Proteja Su Infraestructura de SharePoint
CVE-2025-53770 demuestra que las ventanas de explotación zero-day se están comprimiendo a días, no semanas. La plataforma de seguridad integrada de TR7 proporciona defensa en profundidad contra amenazas emergentes que apuntan a aplicaciones empresariales.
Explorar Protección WAF