En resumen: Por qué es importante la vulnerabilidad ToolShell
La vulnerabilidad, que afecta a más de 9.000 servidores SharePoint accesibles desde el exterior, permite a atacantes no autenticados ejecutar código de forma remota, lo que les otorga el control total de un servidor para robar datos confidenciales, acceder a sistemas de archivos internos y establecer puertas traseras persistentes que pueden sobrevivir a posteriores parches y reinicios del sistema.
La Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) de EE.UU. ha añadido CVE-2025-53770 a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV) y se clasifica oficialmente como un fallo crítico de ejecución remota de código (RCE) con una puntuación base del Sistema Común de Puntuación de Vulnerabilidades (CVSS) de 9,8 sobre 10, lo que subraya la gravedad y la amenaza activa que este fallo representa para entidades tanto del sector público como privado de todo el mundo.
Análisis experto: cómo funciona el ataque y qué deben hacer las organizaciones
Satnam Narang, Ingeniero de investigación Senior de Tenable, ha ofrecido algunos comentarios sobre cómo las organizaciones deben tratar esta vulnerabilidad específica que aún no está totalmente parcheada por Microsoft:
«La explotación activa de la vulnerabilidad de día cero de SharePoint durante el fin de semana tendrá consecuencias de gran alcance para las organizaciones que se vieron afectadas. Los atacantes fueron capaces de explotar el fallo, ahora identificado como CVE-2025-53770, para robar los detalles de configuración de MachineKey de los servidores SharePoint vulnerables, que incluye tanto una validationKey como una decryptionKey. Estos detalles pueden ser utilizados por los atacantes para crear solicitudes especialmente diseñadas que podrían ser utilizadas para obtener la ejecución remota de código sin autenticación», dice Satnam Narang, Ingeniero de investigación Senior de Tenable.
«Las organizaciones que pueden haber sido impactadas podrían identificar la explotación potencial mediante la búsqueda de indicadores de compromiso, incluyendo un archivo creado en los servidores vulnerables llamado spinstall0.aspx, aunque puede incluir alguna otra extensión de archivo. La superficie de ataque para esta vulnerabilidad es grande, con más de 9.000 servidores SharePoint accesibles desde el exterior, y es utilizada por una gran variedad de organizaciones. Los parches han comenzado a desplegarse a última hora del 20 de julio, incluyendo correcciones para SharePoint Server 2019 y SharePoint Subscription Edition. Todavía no está disponible un parche para SharePoint Server 2016, pero se espera que se publique pronto. Aconsejamos encarecidamente a las organizaciones que comiencen a realizar investigaciones de respuesta a incidentes para identificar un posible compromiso; de lo contrario, apliquen los parches disponibles y revisen las instrucciones de mitigación proporcionadas por Microsoft», añadió Narang.
Impacto en América Latina
«Si bien CVE-2025-53770 es una amenaza global, una confluencia de factores regionales crea un perfil de riesgo especialmente elevado para las organizaciones de América Latina, donde las soluciones empresariales de Microsoft, incluido SharePoint Server local, tienen una presencia profundamente establecida. La rápida pero desigual transformación digital de la región, la disponibilidad de detalles públicos de explotación a partir del 20 de julio, combinada con su condición de objetivo principal de un maduro ecosistema de ciberdelincuencia local, crea un terreno fértil para la explotación donde el impacto de esta vulnerabilidad podría ser particularmente grave» , finalizó el ingeniero de Tenable.
