Microsoft ha emitido actualizaciones de seguridad urgentes para SharePoint, su plataforma de colaboración empresarial, tras confirmar que dos vulnerabilidades críticas estaban siendo aprovechadas activamente por atacantes. Las fallas, identificadas como CVE-2025-53770 y CVE-2025-53771, afectan a versiones locales de SharePoint y permiten ataques de ejecución remota de código (RCE), lo que abre la puerta a accesos no autorizados dentro de los entornos empresariales.
¿Qué está pasando con SharePoint?
A principios de mayo, investigadores de seguridad descubrieron que ciertas versiones de SharePoint eran vulnerables a un tipo de ataque conocido como ToolShell, una técnica que permite a los atacantes ejecutar código malicioso de forma remota. A pesar de los intentos de Microsoft por mitigar el riesgo con la actualización de seguridad de julio, los parches iniciales no cubrieron completamente las fallas.
Ante la persistencia del riesgo y los ataques en curso, la compañía ha lanzado dos parches de emergencia para SharePoint Server:
- KB5002768 para SharePoint Server Subscription Edition
- KB5002754 para SharePoint Server 2019
Aún se encuentra pendiente el parche correspondiente a SharePoint Server 2016, aunque Microsoft ha asegurado que está en camino debido a la alta cantidad de organizaciones que siguen utilizando esta versión.
¿A quién afecta este problema?
Estas vulnerabilidades afectan únicamente a servidores SharePoint locales (on-premises). Si utilizas SharePoint Online dentro de Microsoft 365, puedes estar tranquilo: no estás expuesto a esta amenaza específica.
Sin embargo, para las empresas que dependen de instalaciones propias de SharePoint, el panorama es preocupante. La plataforma suele estar profundamente integrada con otros servicios clave de Microsoft como Office, Teams, OneDrive y Outlook, por lo que una brecha en SharePoint puede convertirse rápidamente en una puerta de entrada al resto de la infraestructura corporativa.
¿Qué se debe hacer para protegerse?
Actualizar SharePoint con los nuevos parches es el primer paso, pero no es suficiente. Microsoft ha publicado una serie de recomendaciones adicionales para mitigar el riesgo:
1. Activar AMSI en modo completo
La Antimalware Scan Interface (AMSI) debe estar activada y correctamente configurada. Esto permite que herramientas como Defender Antivirus y Defender for Endpoint detecten y bloqueen actividades maliciosas posteriores a la explotación.
- Asegúrate de que AMSI esté en modo «Full».
- Implementa Defender Antivirus en todos los servidores SharePoint.
- Despliega Defender for Endpoint para monitoreo y respuesta.
2. Rotar las claves ASP.NET de SharePoint
Una de las medidas más importantes es rotar las claves de máquina ASP.NET en los servidores afectados. Estas claves cifran partes críticas de la comunicación y su compromiso podría permitir a los atacantes mantener el acceso incluso después de aplicar los parches.
¿Cómo rotar las claves?
Existen dos métodos principales:
- Usando PowerShell: Ejecuta el comando
Update-SPMachineKey. - Desde Central Admin:
- Accede a la administración central.
- Ve a «Monitoring» → «Review job definitions».
- Busca el trabajo «Machine Key Rotation Job» y elige «Run Now».
- Finalmente, reinicia IIS en todos los servidores (
iisreset.exe).
Importante: Si no puedes habilitar AMSI, deberás realizar la rotación de claves después de instalar el parche.
¿Qué tan grave es esta amenaza?
Según Michael Sikorski, CTO y jefe de inteligencia de amenazas de Palo Alto Networks, la situación no debe tomarse a la ligera:
«Si tienes SharePoint local expuesto a internet, deberías asumir que ya has sido comprometido. Parchear no es suficiente para erradicar la amenaza.»
La razón es simple: SharePoint no es una aplicación aislada. Funciona como un nodo central en muchas organizaciones, y un ataque allí puede extenderse a otros sistemas interconectados.
¿Debería desconectar SharePoint de internet?
Como medida de emergencia, desconectar SharePoint de internet podría ofrecer una solución temporal para evitar más ataques mientras se aplican los parches y configuraciones recomendadas. No hacerlo podría dar una falsa sensación de seguridad y dejar abierta la puerta a una infiltración más profunda.
¿Y el parche para SharePoint 2016?
Todavía no hay una fecha oficial para la publicación del parche correspondiente a SharePoint 2016, pero dada su popularidad en muchas infraestructuras empresariales, Microsoft ha asegurado que se encuentra entre sus prioridades inmediatas.
Consejos finales para administradores TI
- Audita tus servidores: Revisa los registros de actividad en busca de comportamientos inusuales.
- Implementa segmentación de red: Limita la exposición de SharePoint a internet.
- Haz backups seguros: Asegúrate de tener copias de seguridad fuera de línea por si necesitas restaurar sistemas.
- Sigue las actualizaciones de Microsoft: El escenario está evolucionando y podrían surgir nuevas instrucciones.
