Una nueva oleada de ciberataques dirigidos contra servidores Microsoft SharePoint ha comprometido al menos 85 sistemas a nivel mundial, explotando dos vulnerabilidades críticas de día cero que han evadido las medidas de seguridad existentes. Los especialistas en ciberseguridad reportan una escalada significativa en la actividad maliciosa desde finales de la semana pasada, afectando infraestructuras críticas en múltiples sectores.
Del Concepto a la Amenaza Real: La Evolución de ToolShell
El origen de estos ataques se remonta a una demostración técnica realizada durante la competencia Pwn2Own Berlin en mayo, donde investigadores de Viettel Cyber Security presentaron el exploit ToolShell. Esta técnica de ejecución remota de código (RCE) combinaba estratégicamente dos vulnerabilidades de SharePoint: CVE-2025-49706 y CVE-2025-49704, permitiendo a los atacantes ejecutar código arbitrario en servidores objetivo.
Aunque Microsoft implementó correcciones para ambas vulnerabilidades en julio, los ciberdelincuentes han desarrollado métodos sofisticados para evadir los parches de seguridad instalados. Las nuevas variantes del ataque han sido catalogadas como CVE-2025-53770 (puntuación CVSS de 9.8) y CVE-2025-53771 (puntuación CVSS de 6.3), representando bypasses efectivos de las correcciones originales.
Anatomía del Ataque: Técnicas y Vectores de Compromiso
Los atacantes emplean una cadena de explotación multicapa para obtener control total sobre los sistemas objetivo. El proceso de compromiso involucra la implantación del archivo malicioso spinstall0.aspx, que funciona como indicador de compromiso y herramienta para extraer datos criptográficos críticos del servidor.
El objetivo principal de estos ataques es la sustracción de la configuración MachineKey del servidor SharePoint, incluyendo las claves de validación (ValidationKey) y descifrado (DecryptionKey). Una vez obtenidos estos materiales criptográficos, los atacantes pueden generar tokens ViewState falsificados utilizando herramientas como ysoserial, habilitando la ejecución de código arbitrario.
Explotación del Mecanismo ViewState
ViewState constituye un componente fundamental de ASP.NET diseñado para mantener el estado de elementos web entre solicitudes HTTP. Cuando los atacantes comprometen la ValidationKey del servidor, obtienen la capacidad de falsificar el contenido ViewState e inyectar código malicioso que se ejecuta durante el proceso de deserialización en el servidor.
Impacto Global y Sectores Afectados
La investigación conducida por Eye Security, firma holandesa de ciberseguridad, reveló el alcance preocupante de estas campañas maliciosas. Entre las 54 organizaciones identificadas como víctimas se encuentran entidades de infraestructura crítica, incluyendo:
• Instituciones educativas superiores en California
• Compañías del sector energético comercial
• Organizaciones gubernamentales de salud pública
• Empresas fintech con sede en Nueva York
• Desarrolladores de tecnologías de inteligencia artificial
El Google Threat Intelligence Group corrobora la gravedad de la situación, confirmando que los atacantes están desplegando web shells persistentes y extrayendo secretos criptográficos para mantener acceso no autorizado prolongado a los sistemas comprometidos.
Estrategias de Mitigación y Respuesta Inmediata
Microsoft ha lanzado la actualización de emergencia KB5002768 para SharePoint Subscription Edition, aunque los parches para las versiones 2019 y 2016 permanecen en desarrollo. Mientras se implementan las correcciones oficiales, la compañía recomienda medidas de protección inmediatas.
Acciones críticas prioritarias: Instalación de todas las actualizaciones disponibles, habilitación de la integración AMSI (Antimalware Scan Interface) en SharePoint y despliegue de Microsoft Defender en todos los servidores. Estas medidas aumentan significativamente la dificultad para ejecutar ataques no autenticados.
Detección de Compromiso y Fortalecimiento
Los administradores pueden verificar el estado de seguridad de sus servidores buscando el archivo indicador en la ruta C:\PROGRA~1\COMMON~1\MICROS~1\WEBSER~1\16\TEMPLATE\LAYOUTS\spinstall0.aspx. La presencia de este archivo constituye evidencia directa de compromiso exitoso.
La situación actual subraya la importancia crítica de implementar actualizaciones de seguridad oportunamente y mantener arquitecturas de defensa multicapa. Las organizaciones que operan implementaciones on-premises de SharePoint deben ejecutar inmediatamente las medidas de protección recomendadas y establecer monitoreo continuo para detectar indicadores de compromiso temprano.
