Desde el 18 de julio de 2025, Microsoft SharePoint ha vuelto a ser blanco de ciberataques, esta vez a causa de dos nuevas vulnerabilidades zero-day identificadas como CVE-2025-53771 y CVE-2025-5770. Estas fallas de seguridad están siendo explotadas activamente, y al menos 85 servidores on-premise de SharePoint en todo el mundo ya han sido comprometidos, según informes recientes. Lo más preocupante: aún no hay actualizaciones de seguridad disponibles para las versiones afectadas.
Fallas que evaden parches anteriores
La gravedad de estas vulnerabilidades se ve intensificada por su capacidad para evadir los parches de seguridad emitidos en julio para las vulnerabilidades CVE-2025-49704 y CVE-2025-49706. Estas últimas fueron presentadas en el evento de ciberseguridad Pwn2Own Berlin, donde Microsoft ya había emitido mitigaciones. Sin embargo, las nuevas brechas han demostrado poder burlar dichas defensas.
Cabe resaltar que estas amenazas no afectan a SharePoint Online, la versión integrada en Microsoft 365, sino únicamente a instalaciones locales (on-premise) de SharePoint 2016 y 2019, las cuales continúan expuestas a un alto riesgo de ataque.
Solo SharePoint Subscription Edition tiene solución
Hasta el momento, únicamente la edición SharePoint Subscription ha recibido una corrección oficial, disponible a través del update KB5002768. Las versiones de SharePoint 2016 y 2019, en cambio, aún no cuentan con parches definitivos, aunque Microsoft ya está trabajando en su desarrollo.
Recomendaciones de Microsoft para mitigar el riesgo
A falta de una solución oficial para todos los entornos, Microsoft ha emitido una serie de medidas provisionales para reducir la exposición de los sistemas:
- Activar la integración con AMSI (Antimalware Scan Interface) en los entornos SharePoint.
- Instalar Microsoft Defender Antivirus para reforzar la defensa frente a posibles cargas maliciosas.
- Rotar las claves de máquina de ASP.NET, usando PowerShell (
Update-SPMachineKey) o la Central de Administración. - Desconectar los servidores sin parchear de internet, como medida extrema para evitar intrusiones externas.
Estas acciones son consideradas urgentes, especialmente para entornos empresariales donde la continuidad operativa y la protección de datos son esenciales.
¿Cómo detectar si un servidor ha sido comprometido?
Microsoft también ha facilitado indicadores de compromiso (IoC) para ayudar a los administradores a identificar si sus sistemas han sido vulnerados. Uno de los archivos clave a monitorear es:
📁 spinstall0.aspx en el directorio de layouts de SharePoint.
Además, se recomienda el uso de Microsoft 365 Defender junto con una consulta especial de detección compartida en el blog oficial de Microsoft, la cual permite identificar comportamientos sospechosos o maliciosos en los servidores.
¿Por qué es tan importante esta alerta?
Las vulnerabilidades de tipo zero-day son especialmente peligrosas porque aprovechan fallos desconocidos para los fabricantes y permiten a los atacantes actuar antes de que exista una solución oficial. En este contexto, la rápida evolución de los exploits y la lenta llegada de parches para versiones antiguas dejan a muchas organizaciones en una posición crítica.
Las empresas que aún dependen de instalaciones locales de SharePoint deben actuar de inmediato, implementando las mitigaciones recomendadas y evaluando la posibilidad de migrar a soluciones más seguras, como SharePoint Online en Microsoft 365, donde la infraestructura está mejor protegida y recibe actualizaciones automáticas.
Este nuevo episodio de ataques dirigidos contra Microsoft SharePoint evidencia la necesidad de reforzar las prácticas de ciberseguridad en entornos locales. Mientras se esperan parches oficiales para las versiones 2016 y 2019, es imperativo que los administradores de sistemas apliquen todas las medidas de protección posibles y vigilen continuamente sus entornos para detectar signos de actividad maliciosa.
🛡️ La prevención y la vigilancia continua siguen siendo las mejores armas contra los ciberataques.