Microsoft sufrió un ataque cibernético que vulneró SharePoint, su plataforma de colaboración empresarial. Al respecto, Kaspersky descubrió el origen de estas fallas que vulneraron a más de 50 organizaciones y servidores de diferentes países.
La empresa de ciberseguridad descubrió que las vulnerabilidades recientemente explotadas de ToolShell en Microsoft SharePoint tienen su origen en una corrección incompleta del parche CVE-2020-1147, reportada por primera vez en 2020.
Los investigadores del Equipo Global de Investigación y Análisis (GReAT) de Kaspersky analizaron el exploit publicado de ToolShell y hallaron que es alarmantemente similar al exploit del CVE-2020-1147.
TIENES QUE LEER: GPT-5 llega en agosto: el modelo que podría pensar como la mente humana
“Esto sugiere que el parche CVE-2025-53770 es, de hecho, una solución efectiva para la vulnerabilidad que el CVE-2020-1147 intentó resolver hace cinco años”, añadió.
Kaspersky también explicó que la conexión con el CVE-2020-1147 se hizo evidente tras el descubrimiento de las vulnerabilidades CVE-2025-49704 y CVE-2025-49706, que fueron parchadas el 8 de julio.
Sin embargo, dichas correcciones podían ser eludidas añadiendo una barra diagonal en la carga útil del exploit. Una vez que Microsoft fue informado de la explotación activa de estas vulnerabilidades, respondió con parches más completos que abordaron los posibles métodos de evasión, designando las vulnerabilidades como CVE-2025-53770 y CVE-2025-53771, como lo informó la empresa estadounidense el 22 de julio pasado.
El aumento en los ataques a servidores de SharePoint a nivel mundial se produjo en el periodo entre la explotación inicial y la implementación completa de los parches. Los principales ataques, añadió, están dirigidos a organizaciones de los sectores gubernamental, financiero, manufacturero, forestal y agrícola.
Microsoft observó a dos actores estatales chinos, Linen Typhoon y Violet Typhoon, explotando las vulnerabilidades y atacando servidores SharePoint con conexión a internet. En un sentido similar, identificó a otro atacante llamado Storm-2603, también oriundo de China, que explotaba las vulnerabilidades para distribuir ransomware.
<blockquote class="twitter-tweet"><p lang="en" dir="ltr">🔄 Update: SharePoint Attacks Escalate<br><br>ToolShell exploitation is now global—4,600+ compromise attempts across 300+ orgs, including government and critical infrastructure.<br><br>🛑 U.S. leads in targets (13.3%), followed by the UK, France, and Germany.<br><br>📌 Attackers are stealing ASP… <a href="https://t.co/3RdsTDwlPc">pic.twitter.com/3RdsTDwlPc</a></p>— The Hacker News (@TheHackersNews) <a href="https://twitter.com/TheHackersNews/status/1948654623226524156?ref_src=twsrc%5Etfw">July 25, 2025</a></blockquote> <script async src="https://platform.twitter.com/widgets.js" charset="utf-8"></script>
La empresa fundada por Bill Gates también recomendó usar versiones compatibles de servidores SharePoint locales con las últimas actualizaciones de seguridad; así como integrar y habilitar la Interfaz de Análisis Antimalware (AMSI) y el Antivirus de Microsoft Defender o soluciones equivalentes en todas las implementaciones de SharePoint locales.
Por su parte, Kaspersky exhortó a las organizaciones que utilizan este servicio a aplicar inmediatamente los últimos parches de seguridad, al igual que implementar soluciones de ciberseguridad que protejan contra exploits zero-day, término acuñado a los ataques de ciberseguridad recién descubiertas que los hackers usan para vulnerar sistemas.
TE PUEDE INTERESAR:
- ¿Volverá Vine? Elon Musk prepara el regreso de la red social, pero impulsada con IA
- Intel está en crisis: despide al 15 por ciento de su plantilla y dice adiós a sus megaproyectos
- ¿Quieres probar iOS 26? Apple lanza la beta pública. AQUÍ te decimos cómo instalarla