Dos vulnerabilidades zero-day no divulgadas previamente en Microsoft SharePoint Server (instalaciones locales) están siendo activamente explotadas en una campaña de espionaje altamente coordinada. Microsoft ha vinculado estos ataques a grupos APT (Amenaza Persistente Avanzada) patrocinados por el Estado chino, y al menos 75 organizaciones han confirmado intrusiones a nivel global.
Las fallas, clasificadas como CVE-2025-53770 y CVE-2025-53771, permiten la ejecución remota de código sin autenticación (RCE), otorgando a los atacantes control total sobre los servidores de SharePoint y la infraestructura interna asociada.
La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha emitido una directiva de emergencia, exigiendo parches inmediatos y búsqueda proactiva de indicadores de compromiso.
Análisis Técnico de la Cadena de Explotación
Mecanismo de la Vulnerabilidad
Ambas CVEs se originan por una validación inadecuada y deserialización insegura en cómo SharePoint procesa solicitudes HTTP manipuladas:
- CVE-2025-53770: Permite ejecutar objetos maliciosos mediante solicitudes HTTP POST falsificadas hacia endpoints de bibliotecas de documentos.
- CVE-2025-53771: Omite comprobaciones de permisos y abusa de configuraciones internas para escalar privilegios.
Esto habilita a los atacantes para:
- Ejecutar código como cuenta de servicio privilegiada
- Instalar web shells
- Robar tokens NTLM y cookies de sesión
- Acceder y extraer archivos y credenciales
- Escalar privilegios dentro del dominio
Flujo de Ataque (Anatomía de la Brecha)
- Acceso Inicial
El atacante dirige una solicitud POST especialmente diseñada a una URL vulnerable (como_layouts/15/). - Ejecución del Payload
La carga útil se procesa dentro del servidor SharePoint, que ejecuta código en contexto elevado. - Persistencia
Se implanta un web shell (por ejemplo, China Chopper) en directorios de la aplicación web. - Reconocimiento Interno
Se utiliza PowerShell, WMI o PsExec para moverse lateralmente, buscar controladores de dominio y recopilar credenciales. - Exfiltración y Eliminación de Evidencia
Documentos, tokens y registros se extraen y, en algunos casos, los eventos son borrados mediantewevtutil.
Atribución y Comportamiento de los Atacantes
Según Microsoft, los ataques fueron ejecutados por tres grupos APT chinos:
| Grupo APT | Comportamiento Observado |
|---|---|
| Storm-0866 | Uso de frameworks personalizados para persistencia y backdoors en SharePoint |
| Storm-1200 | Utiliza herramientas comerciales como Cobalt Strike y SharpHound |
| Storm-1359 | Se enfoca en cadenas de suministro, proveedores externos y firmas legales |
Tácticas comunes incluyen:
- Uso de herramientas del sistema (
certutil,msbuild,powershell) - Manipulación de tokens de servicios internos
- Implantes en memoria para evadir antivirus y EDR
Impacto Global
Organizaciones afectadas:
- Ministerios gubernamentales de EE. UU., Europa y Asia
- Proveedores de servicios cloud y DevOps
- Empresas legales, bufetes y entidades financieras
Impactos confirmados:
- Robo de documentos y credenciales
- Suplantación de identidades de administradores
- Movimiento lateral hacia nubes híbridas (Azure AD)
Indicadores de Compromiso (IoCs)
Archivos sospechosos:
.aspxno autorizados en:C:\Program Files\Common Files\Microsoft Shared\Web Server Extensions\15\TEMPLATE\LAYOUTS\
Comportamientos anómalos:
w3wp.exeejecutandopowershell.exemsbuild.execon conexiones salientes- Tráfico HTTP hacia dominios
.cn,.tko IPs desconocidas
Recomendaciones de Defensa
Acciones Inmediatas:
- Aplicar el parche de seguridad de Microsoft de julio de 2025
- Analizar logs IIS y eventos PowerShell del servidor
- Revisar accesos administrativos y privilegios inusuales
Fortalecimiento:
- Restringir acceso a interfaces administrativas de SharePoint
- Aplicar MFA y acceso condicional para usuarios privilegiados
- Implementar monitoreo de integridad de archivos (
FIM) - Usar reglas YARA/Sigma para detectar shells web en memoria
Es un conocido experto en seguridad móvil y análisis de malware. Estudió Ciencias de la Computación en la NYU y comenzó a trabajar como analista de seguridad cibernética en 2003. Trabaja activamente como experto en antimalware. También trabajó para empresas de seguridad como Kaspersky Lab. Su trabajo diario incluye investigar sobre nuevos incidentes de malware y ciberseguridad. También tiene un profundo nivel de conocimiento en seguridad móvil y vulnerabilidades móviles.