CVE-2025-53770: Un exploit crítico de 9.8/10 dirigido a SharePoint

23 de julio de 2025

Responsable de investigación de ciberamenazas

CVE-2025-53770: Un exploit crítico de 9.8/10 dirigido a SharePoint

Durante el pasado fin de semana, una oleada a gran escala de ataques no autenticados de ejecución remota de código (RCE), conocida como ToolShell, comenzó a dirigirse a servidores Microsoft SharePoint locales de todo el mundo. Se trata de una campaña real y rápida que se aprovecha de dos vulnerabilidades recientemente reveladas: CVE-2025-53770 y CVE-2025-53771.

Estos fallos aprovechan un error de deserialización en ASP.NET, dando a los atacantes acceso remoto completo a los servidores SharePoint sin requerir credenciales o interacción del usuario.

Sin nombres de usuario. Sin phishing. Ni malware. Sólo una solicitud HTTP enviada a un punto final expuesto de SharePoint.

Esto es lo que los equipos de seguridad deben entender y cómo la plataforma Vectra AI puede ayudar a detener estos ataques antes de que se propaguen.

Lo que está pasando: Las 3 cosas más importantes que hay que saber

1. La explotación es activa y continua

Los atacantes están utilizando una cadena de exploits armada llamada ToolShell para comprometer servidores SharePoint 2016, 2019 y Subscription Edition on-prem. La cadena combina dos fallos que permiten la ejecución remota de código sin autenticación. La entrada inicial solo requiere una solicitud POST manipulada.

En resumen: los hackers pueden comprometer completamente su servidor SharePoint sin necesidad de iniciar sesión. Y ya lo están haciendo.

2. El exploit proporciona acceso sigiloso a largo plazo

Una vez dentro, los atacantes cargan una pequeña webshell (spinstall0.aspx) para extraer las claves criptográficas del servidor: la ValidationKey y la DecryptionKey. Con ellas, pueden falsificar tokens de confianza (__VIEWSTATE) y ejecutar comandos una y otra vez - incluso si cambias contraseñas o parcheas más tarde.

En resumen: una vez dentro, los atacantes pueden crear accesos de confianza para entrar y salir sin ser detectados, incluso después de que creas que has solucionado el problema.

3. La campaña es mundial y se está acelerando

Eye Security y otros investigadores han confirmado el escaneo masivo y el compromiso generalizado. Más de 85 organizaciones ya se han visto afectadas. Están circulando herramientas públicas y listas de IP, con más de 9.300 servidores SharePoint identificados como expuestos a internet....

En resumen: las herramientas para aprovecharse de esta situación son públicas, los objetivos son conocidos y su servidor SharePoint podría ser el siguiente.

Por qué a los atacantes les encanta CVE-2025-53770

No es necesario iniciar sesión: El ataque funciona sin credenciales ni phishing.
Control total del servidor: Acceso total a los datos, archivos de sistema y configuraciones de SharePoint.
Potencial de movimiento lateral: Pivote en Exchange, OneDrive, Teams y Active Directory.
Robo de claves criptográficas: Las MachineKeys robadas permiten el acceso de puerta trasera a largo plazo.
Difícil de detectar: El exploit imita el tráfico y la actividad legítimos de SharePoint.

Anatomía del exploit ToolShell

Petición HTTP maliciosa Paso 1

El atacante envía un POST manipulado a /_disposiciones/15/Panel de herramientas.aspx con un forjado Referencia: /SignOut.aspx.
Anulación de la autenticación Paso 2

El servidor omite la validación adecuada del Referer, permitiendo el acceso no autenticado a la funcionalidad de carga.
Webshell cargado Paso 3

Un sigiloso spinstall0.aspx está caído, diseñado para volcar claves criptográficas, no para abrir un shell interactivo.
Robo de claves de máquina Paso 4

La webshell invoca a .NET internamente para extraer Clave de validación y Clave de descifrado de memoria.
Creación de fichas ViewState Paso 5

El atacante utiliza llaves robadas con ysoserial para generar ESTADO DE VISTA cargas útiles.
Ejecución remota de código Paso 6

Carga maliciosa enviada a cualquier página (por ejemplo, éxito.aspx), ejecutando comandos silenciosamente.
Persistencia y movimiento lateral Paso 7

Se instalan puertas traseras, se escanean los servicios y el atacante se desplaza lateralmente por el dominio.

Qué pueden hacer los atacantes después de explotar CVE-2025-53770 y CVE-2025-53771

Explotar ToolShell no es el final del ataque. Es el comienzo de un compromiso más profundo. Una vez que un servidor es violado, los atacantes pueden:

1. Falsificar tokens de confianza

Con las MachineKeys robadas, los atacantes generan cargas útiles __VIEWSTATE válidas para ejecutar comandos maliciosos de forma repetida y silenciosa.

En resumen: crean una actividad falsa y fiable que elude los controles normales.

2. Establecer puertas traseras

A menudo despliegan webshells adicionales, alteran componentes de SharePoint o modifican configuraciones para mantener la persistencia a través de reinicios y parches.

En resumen: ocultan su acceso, de modo que ni siquiera las futuras limpiezas podrán eliminarlos.

3. Desplazarse lateralmente por el entorno

Los atacantes utilizan credenciales y tokens comprometidos para acceder a otros sistemas y escalar privilegios a través de la red. Pueden desplazarse lateralmente por el centro de datos, la red del campus, el personal remoto, la infraestructura de identidad, los servicios cloud e incluso los sistemas IoT/OT. A partir de ahí, suelen atacar los servicios de Microsoft 365 (Office, Teams, OneDrive y Outlook) para robar documentos, comunicaciones, credenciales y otros datos de gran valor.

En resumen: utilizan SharePoint como plataforma de lanzamiento para comprometer todo su entorno.

4. Abuso de Microsoft Copilot para reconocimiento

Si Copilot para SharePoint está habilitado, los atacantes pueden utilizarlo para resumir documentos, extraer contenido sensible y mapear estructuras internas utilizando ingeniería rápida.

En resumen: utilizan sus propias herramientas de IA para encontrar lo que más importa, más rápido.

5. Robo o rescate de datos

Con acceso completo al contenido de SharePoint, correos electrónicos y documentos internos, los atacantes pueden filtrar información confidencial o desplegar ransomware.

En resumen: convierten sus datos en ventajas y beneficios.

Cómo ayuda Vectra AI

Los ataques como ToolShell no se basan en credenciales robadas, malware o interacción del usuario. Se aprovechan de fallos lógicos en aplicaciones de confianza, eludiendo la identidad, el punto final y el perímetro por diseño. Y por eso la mayoría de las defensas tradicionales nunca los ven venir.

Vectra AI ya proporciona cobertura de detección tanto para la cadena de exploits ToolShell original (CVE-2025-49704) como para su variante más reciente, CVE-2025-53771 para los clientes que aprovechan Vectra Match con la visibilidad de sensor adecuada. Estas detecciones identifican los intentos de explotación basados en la lógica de deserialización compartida y el abuso del punto final utilizado en la cadena de ataque. Nuestro equipo de ingeniería está ampliando activamente la cobertura de otras variantes de exploits, incluida la CVE-2025-53770, para garantizar que la protección evoluciona a medida que lo hace la amenaza.

Más allá de la detección, la plataformaVectra AI permite a su SOC investigar con rapidez y precisión. Correlaciona los comportamientos de los atacantes en SharePoint, los sistemas de identidad y los servicios cloud , destacando desde el despliegue de webshell hasta la ejecución de PowerShell y el movimiento lateral.

En combinación con las integraciones con su pila SIEM, SOAR y EDR, Vectra AI admite una respuesta rápida y segura antes de que los atacantes puedan escalar.

¿Preparado para la siguiente variante?

Ya sea que los atacantes modifiquen el Referer, cambien el nombre del archivo o cambien a un nuevo zero-day, el enfoque de Vectra AIno se basa en IOC estáticos o firmas. Utiliza modelos de aprendizaje automático creados para detectar abusos de protocolos, comportamientos y privilegios, independientemente de cómo estén empaquetados.

Vectra AI no sólo ve la brecha. Le ayuda a comprenderla, contenerla y adelantarse a lo que venga después.

Si ejecuta SharePoint in situ, no puede permitirse confiar únicamente en las herramientas perimetrales.

Vectra AI cierra la brecha de visibilidad donde otros se quedan cortos:

Vea una demostración autoguiada para comprobar cómo Vectra detecta y detiene ataques como ToolShell antes de que se conviertan en infracciones en toda regla.
Leala opinión de nuestro vicepresidente de producto, Mark Wojtasiak, sobre por qué Vectra AI destaca en el Cuadrante Mágico de Gartner® de 2025 para detección y respuesta de redes (NDR) .
‍Obtengamás información sobre por qué Vectra AI es líder y superadora en el Informe GigaOm Radar 2025 para la Detección y Respuesta a Amenazas de Identidad (ITDR).
Cerrarlas brechas de detección, investigación y respuesta a las amenazas de Microsoft con Vectra AI

¿Quiere saber más?

Vectra AI es el líder en detección y respuesta a amenazas cloud híbrida basadas en IA de seguridad. La plataforma y los servicios de Vectra cubren la cloud pública, las aplicaciones SaaS, los sistemas de identidad y la infraestructura de red, tanto en las instalaciones como cloud. Organizaciones de todo el mundo confían en la plataforma y los servicios de Vectra para resistir el ransomware, el compromiso de la cadena de suministro, la apropiación de identidades y otros ciberataques que afectan a su organización.

Si quiere saber más, póngase en contacto con nosotros y le mostraremos exactamente cómo lo hacemos y qué puede hacer para proteger sus datos. También podemos ponerle en contacto con uno de nuestros clientes para que nos cuente directamente su experiencia con nuestra solución.

Contáctenos