Miembros
Miembros
A finales de julio de 2025, se detectó una campaña global que explotaba vulnerabilidades críticas en instalaciones on‑premise de Microsoft SharePoint. Tras descubrir que más de 100 organizaciones habían sido comprometidas, Microsoft tuvo que emitir una alerta urgente. En esta primera fase se identificaron como afectadas agencias federales de EE. UU., universidades, empresas energéticas e incluso una entidad en España. A raíz de esta situación se estima que miles de servidores SharePoint están aún vulnerables ante esta amenaza.
Las fallas explotadas incluyen los zero‑day CVE‑2025‑49706 (suplantación de credenciales) y CVE‑2025‑49704 (ejecución remota de código), así como dos variantes adicionales, CVE‑2025‑53770 y CVE‑2025‑53771, que se aprovecharon como bypass a los parches previos. Microsoft identificó a tres grupos vinculados a China detrás de los ataques: Linen Typhoon, Violet Typhoon y Storm‑2603. Estos últimos fueron reportados por desplegar ransomware como Warlock que comprometieron las máquinas.
El riesgo aumentó aún más al comprobarse que los atacantes robaron claves criptográficas (machine keys), lo cual permitiría su reingreso, incluso, tras aplicar los parches de seguridad. Expertos avisan que es solo cuestión de tiempo antes de que múltiples grupos recurran a esta técnica masivamente.
Respuesta de Microsoft
Microsoft reaccionó rápidamente liberando actualizaciones urgentes y recomendando medidas como activar Microsoft Defender Antivirus, habilitar AMSI en modo completo, cambiar claves de cifrado, reiniciar servidores web y reforzar el monitoreo de sistemas.
Este ataque a Microsoft SharePoint no fue un incidente menor. Según la firma Eye Security fueron comprometidas más de 400 organizaciones en al menos 29 países, una cifra notablemente superior a las 100 inicialmente reportadas. Entre las víctimas se encuentran agencias federales de EE.UU., la Administración Nacional de Seguridad Nuclear, universidades y entidades del sector energético y tecnológico. Muchos expertos ya lo consideran uno de los peores ataques dirigidos a productos de Microsoft en los últimos años, solo comparable con el histórico ataque al servidor Exchange de 2021 que afectó a cientos de miles de entidades.
CIBERIA PODCAST
El podcast sobre ciberseguridad para empresas, organizaciones y ciudadanos. Noticias, entrevistas y debate sobre temas de actualidad claves para conseguir empresas y organizaciones ciberseguras y ciberresilientes.
Spotify Amazon Music Ivoox Apple Podcast Youtube Deezer Podcast Addict
¿Quieres leer más actualidad?
La realidad digital es fascinante, pero navegarla sin brújula es como intentar beber té con un tenedor. Suscríbete a la newsletter de Ciberia: insights afilados, claros y prácticos sobre ciberseguridad que evitarán que tu vida virtual se convierta en un extraño experimento social.