Una vulnerabilidad de día cero identificada en la plataforma SharePoint Server de Microsoft ha sido explotada activamente por ciberdelincuentes, afectando múltiples organizaciones a nivel global, que están expuestas al robo de claves digitales privadas de los servidores y, con ello, al robo de información, aunque se han empezado a publicar actualizaciones de seguridad.
SharePoint es un servicio proporcionado por Microsoft y extendido ampliamente a nivel global, que permite a las empresas almacenar, compartir y administrar sus archivos internos. Además, este servicio se puede combinar con otros como Outlook, Teams y OneDrive.
En este sentido, identificado previamente por la firma de ciberseguridad Eye Security, Microsoft alertó el pasado sábado de una vulnerabilidad en la plataforma SharePoint Server, y detalló que había identificado ataques activos dirigidos contra clientes locales de este servicio.
Como resultado, las organizaciones que dispusieran de este servicio de forma local, es decir, instalado y administrado en sus propios servidores, quedaron afectadas por la vulnerabilidad y, por tanto, desprotegidas ante el robo de información sensible por parte de actores maliciosos.
Ahora, la tecnológica ha lanzado actualizaciones de seguridad que "protegen completamente" a los clientes que utilizan las versiones SharePoint Subscription Edition y SharePoint 2019, contra los riesgos de esta vulnerabilidad, recogida como CVE-2025-53770 y CVE-2025-53771, por lo que ha recomendado a los clientes que apliquen estos parches "de inmediato", tal y como ha compartido en una publicación en X (antigua Twitter).
Asimismo, Microsoft ha detallado que aún están trabajando activamente en las actualizaciones para versiones más antiguas del servicio, como SharePoint 2016, por lo que las empresas y organizaciones que utilicen esta versión aún corren el riesgo de ser atacadas utilizando esta vulnerabilidad de día cero.
Concretamente, el fallo permite que actores maliciosos accedan a ciertas versiones locales de SharePoint para robar claves digitales privadas de los servidores sin necesidad de iniciar sesión, lo que permite suplantar la identidad de los usuarios o servicios. Esto da pie a que los ciberdelincuentes accedan a los servidores y, una vez dentro, dispongan de contraseñas, así como instalen 'malware' para el robo de información de forma remota.
"Esta actividad de explotación, reportada públicamente como 'ToolShell', proporciona acceso no autenticado a los sistemas y permite a actores maliciosos acceder completamente al contenido de SharePoint, incluyendo sistemas de archivos y configuraciones internas, y ejecutar código a través de la red", ha detallado la Agencia de Ciberseguridad y Seguridad de las Infraestructuras de Estados Unidos, que también ha recogido esta vulnerabilidad en un comunicado.
Aunque aún se desconocen cuántos servidores de SharePoint se han visto comprometidos por ciberdelincuentes, The Wahington Post ha señalado a universidades, agencias federales y estatales en Estados Unidos, así como compañías de energía, que ya han sido vulneradas aprovechando este fallo.
