Microsoft alertó a sus usuarios sobre ataques activos dirigidos a servidores de SharePoint instalados en las instalaciones de organizaciones, los cuales explotan una vulnerabilidad crítica de día cero identificada como CVE-2025-53770. La compañía instó a los clientes a aplicar actualizaciones de seguridad de inmediato para mitigar los riesgos, según informó en un comunicado oficial emitido el sábado 19 de julio de 2025. La falla, que permite a atacantes acceder sin autenticación y ejecutar código remotamente, afecta a versiones de SharePoint Server 2016, 2019 y Subscription Edition, pero no a SharePoint Online en Microsoft 365.
La Agencia de Ciberseguridad y Seguridad de Infraestructuras (CISA) de Estados Unidos confirmó la explotación activa de esta vulnerabilidad, que otorga a los atacantes acceso total al contenido de SharePoint, incluyendo sistemas de archivos y configuraciones internas. Según la firma de ciberseguridad Eye Security, los ataques comenzaron el 18 de julio y han comprometido al menos 54 organizaciones, incluyendo bancos, universidades y entidades gubernamentales en todo el mundo. Los atacantes han utilizado la vulnerabilidad para instalar webshells y robar claves criptográficas, lo que les permite mantener acceso incluso después de aplicar parches.
Microsoft ha lanzado parches de emergencia para SharePoint Subscription Edition y SharePoint 2019, pero los usuarios de SharePoint 2016 siguen vulnerables mientras la compañía desarrolla una solución. Como medida temporal, Microsoft recomendó desconectar los servidores afectados de internet y configurar la integración de Antimalware Scan Interface (AMSI) junto con Defender Antivirus. Además, instó a rotar las claves de máquina ASP.NET y reiniciar los servicios IIS tras aplicar las actualizaciones.
Expertos en ciberseguridad, como Michael Sikorski de Palo Alto Networks, advirtieron que la integración de SharePoint con servicios como Outlook, Teams y OneDrive amplifica el riesgo, ya que un ataque puede derivar en robo de datos, cosecha de contraseñas y movimiento lateral en la red. La CISA incluyó la vulnerabilidad en su catálogo de Vulnerabilidades Explotadas Conocidas, exigiendo a las agencias federales de Estados Unidos remediar el problema antes del 21 de julio de 2025.
