ESET Research ha alarmado sobre una serie de ataques activos que están aprovechando vulnerabilidades de día cero recientemente descubiertas en SharePoint Server, conocidas como ToolShell. Desde el 17 de julio de 2025, estas vulnerabilidades, que permiten la ejecución remota de código y el suplantado de servidor, han sido ampliamente explotadas por diversos actores de amenazas, desde cibercriminales menores hasta grupos de amenazas persistentes avanzadas (APT) alineados con naciones.
Las vulnerabilidades afectan a las versiones locales de Microsoft SharePoint, incluyendo SharePoint Subscription Edition, SharePoint 2019 y SharePoint 2016, mientras que SharePoint Online de Microsoft 365 no se ve afectado. Al explotar estas vulnerabilidades, los atacantes pueden acceder a sistemas restringidos y robar información sensible, lo que abre la puerta a un nivel alarmante de acceso dentro de redes comprometidas.
Los ataques se han intensificado en los días posteriores a su identificación, con un incremento notable en la actividad de las direcciones IP que han intentado explotar estas vulnerabilidades. El 22 de julio, se observó que algunos atacantes de grupos aliados con China habían comenzado a participar en los intentos de explotación, lo que incluye la presencia de un backdoor asociado con LuckyMouse, un grupo de ciberespionaje que tiene como objetivo a gobiernos y organizaciones internacionales.
ESET ha identificado varios scripts maliciosos que se utilizan en estos ataques, como «spinstall0.aspx», que permite a los atacantes evadir la autenticación multifactor y ejecutar comandos arbitrarios dentro de los servidores atacados. Hasta ahora, los Estados Unidos han sido el país más afectado, representando el 13.3 % de los ataques registrados.
Microsoft ha instado a las organizaciones que utilizan SharePoint Server a aplicar las últimas actualizaciones de seguridad y adoptar medidas de protección adicionales, como activar la Interfaz de Escaneo de Antimalware y rotar las claves de máquina ASP.NET en SharePoint Server. Con la creciente explotación de vulnerabilidades, se recomienda a las entidades afectadas que actúen rápidamente para proteger sus sistemas y datos sensibles.
Fuente: WeLiveSecurity by eSet.
