Volver a la vista general

13 de agosto de 2025

SharePoint-kwetsbaarheid CVE-2025-53770

 

Más de 50 organizaciones de todo el mundo -incluidas agencias gubernamentales- han sido víctimas de una vulnerabilidad crítica de día cero en SharePoint (CVE-2025-53770), y esta cifra sigue aumentando.
La vulnerabilidad, con una puntuación CVSS de 9,8, se basa en la deserialización insegura de datos ViewState, lo que permite ataques no autorizados en entornos SharePoint locales.


ALTA-ICT comprende lo crucial que es la colaboración segura para las organizaciones holandesas. Por eso compartimos ideas claras, entre ellas cómo actuar con rapidez y eficacia específicamente en Holanda, con un retorno de la inversión medible y seguridad certificada por la ISO.

Contraseñas para PYME: ¿Seguras o peligrosas?

¿Qué es CVE-2025-53770?

CVE-2025-53770 es una vulnerabilidad de Ejecución Remota de Código (RCE), que aprovecha la deserialización insegura de datos no protegidos en entornos SharePoint locales.
Esta forma de aprovechamiento, también conocida como “ToolShell”, combina parches antiguos con nuevas rutas de ataque, eludiendo así las protecciones anteriores.
En los ataques, se han instalado web shells como spinstall0.aspx, se han robado claves de máquina y se ha obtenido persistencia, a veces incluso se ha desplegado ransomware como “Warlock”.
Aunque SharePoint Online dentro de Microsoft 365 no es vulnerable, los sistemas locales de todo el mundo sufrieron graves daños: piensa en cientos de servidores, incluso en organismos gubernamentales.

 

Pasos de la aplicación: ¿qué hacer (en NL)?

Paso 1: Parchear inmediatamente – Microsoft ha publicado actualizaciones de emergencia:

  • Edición de Suscripción a SharePoint – KB5002768

  • SharePoint 2019 – KB5002754

  • SharePoint 2016 – KB5002760

Paso 2: Rota MachineKey – Elimina las claves criptográficas robadas y fuerza una nueva instancia de claves. Reinicia IIS a través de iisreset.exe.

Paso 3: Iluminación y detección

  • Activa el AMSI (Interfaz de Escaneado Antimalware).

  • Utiliza Defender y otras soluciones EDR/MDR para detectar la actividad posterior a la explotación.

  • Busca webshells (spinstall0.aspx), cargas útiles ViewState inusuales y claves de máquina robadas.

Paso 4: Segmenta la red y aísla los sistemas – Desconecta temporalmente los sistemas locales de la exposición a Internet/pública. Considera la ZTNA, la VPN empresarial y la segmentación de aplicaciones.

Paso 5: Respuesta a incidentes y caza de amenazas – Llama a equipos especializados de IR, supervisa los registros e identifica indicadores de compromiso (IoC). Considera SIEM o Detección Gestionada dentro de los servicios SOC.

Paso 6: Considera la posibilidad de migrar a SharePoint Online – Especialmente para las organizaciones del sector sanitario, gubernamental o fintech, la migración puede ayudar a mitigar los riesgos. SharePoint Online no es susceptible a este vector de ataque.

 

Desafíos en Holanda

Las PYMES holandesas, los hospitales (AVG/NEN7510) y las instituciones públicas (NORA, DNB) corren un mayor riesgo debido a una infraestructura de SharePoint anticuada.
El cumplimiento de las normativas AVG, NEN7510 y BIO hace que sea esencial la aplicación rápida de parches, el registro y una comunicación clara con el usuario final. Los recursos informáticos disponibles son limitados, lo que puede retrasar la respuesta a incidentes y la gestión de parches.
ALTA-ICT ofrece asistencia con certificación ISO en este ámbito:

  • Gestión rigurosa de parches y seguridad ISO 27001 + NEN 7510.

  • Tiempo de actividad y recuperación medibles del 99,9%.

  • Conexión con el cumplimiento sectorial holandés (Sanidad, Finanzas, Gobierno).

  • Hoja de ruta clara a corto y largo plazo con garantía jurídica e informes.

 

Retorno de la inversión de un enfoque proactivo

  • Ahorro de costes: La aplicación rápida de parches evita la costosa respuesta a incidentes.

  • Minimización de riesgos: Limitar la exposición, la pérdida de datos, los daños a la reputación y los incumplimientos.

  • Ventaja estratégica: La colaboración con ALTA-ICT proporciona beneficios cuantificables (tiempo de actividad, acuerdos de nivel de servicio, informes) y refuerza la confianza entre la junta directiva y la dirección de TI.

  • Outlook: Al migrar con el tiempo a una arquitectura moderna en la nube con SharePoint Online híbrido o SharePoint Online, reduces los complejos sistemas de enrutamiento de parches y aumentas la escalabilidad.

 

Enfoque ALTA-TIC

Certificaciones y experiencia:

  • Cumplimiento de las normas ISO 27001 y NEN 7510.

  • Experiencia con la integración de AVG, NORA y DigiD.

  • Gestión de incidentes y servicios SOC 24 horas al día, 7 días a la semana.

  • Experiencia en migración a la nube e híbrida (incluido Microsoft-365).

Diferenciador único:

  • Enfoque centrado en Holanda: auditorías e informes comprensibles, en holandés.

  • Personalización para PYMES, entidades financieras e instituciones sanitarias.

  • Nada de palabrería comercial, sólo consejos claros.

  • Despliegue inmediato y plazos cortos para las tiradas de parches y las evaluaciones.

 

PREGUNTAS FRECUENTES

¿Y si utilizamos SharePoint 2016?
El parche KB5002760 está disponible; en caso de retraso: aísla temporalmente el sistema y despliega un equipo de IR.

¿Es seguro SharePoint Online?
Sí, SharePoint Online no se ha visto afectado por este día cero.

¿Por qué se necesitan nuevos CVE?
Porque el primer parche era insuficiente; CVE-2025-53770/53771 contenía correcciones más fuertes.

¿Cuánto tarda el despliegue de los parches?
En cuestión de horas en ALTA-ICT, incluidas las pruebas y la rotación de llaves.

¿Ayudáis también con el GDPR y su cumplimiento?
¡Por supuesto! Conectamos la tecnología con la gobernanza y la documentación.

 

Conclusión

El día cero “ToolShell” CVE-2025-53770 supone un peligro inmediato para los entornos SharePoint on-prem, lo que se traduce en una amenaza global de ransomware, así como en estructuras gubernamentales comprometidas. Sólo la aplicación aguda de parches, la rotación de claves y la detección de amenazas ofrecen protección inmediata.
¿Quieres una consulta inmediata y sin compromiso sobre tu situación? En ALTA-ICT no recibes argumentos de venta, sino una visión clara y un plan de acción concreto y a medida. Programa una reunión directamente a través de nuestro enlace de conocimiento.

 

Referencia

¹https://www.linkedin.com/posts/altaict_mkb-microsoft365-nis2-activity-7352970320447709184-sgHv

²https://www.techradar.com/pro/sharepoint-ageddon-attacks-riddled-with-free-warlock-ransomware-and-thousands-of-services-could-be-compromised

³https://www.windowscentral.com/software-apps/were-witnessing-an-urgent-and-active-threat-microsoft-sharepoint-toolshell-vulnerability-is-being-attacked-globally

⁴https://www.windowscentral.com/microsoft/us-agency-overseeing-nuclear-weapons-breached-in-microsoft-sharepoint-attack

¿Quieres saber más?

Ponte en contacto
Cybersecurity zero-day waarschuwing SharePoint CVE-2025-53770 met ALTA-ICT logo