CVE-2025-53770: Vulnerabilidad crítica en Microsoft SharePoint ("ToolShell")

Descripción técnica

CVE-2025-53770 es una vulnerabilidad de ejecución remota de código (RCE) sin autenticación, causada por deserialización insegura de datos no confiables en Microsoft SharePoint Server (on-premises). Permite a un atacante remoto ejecutar código arbitrario con los permisos del proceso de SharePoint, accediendo a datos críticos y comprometiendo la infraestructura del servidor.
Forma parte de la cadena de exploits “ToolShell” y supone un bypass a parches previos como CVE-2025-49704[5][8].

Productos afectados

• SharePoint Server Subscription Edition
• SharePoint Server 2019 y 2016
• Versiones 2010 y 2013 (sin soporte, pero también vulnerables)
• NO afecta: SharePoint Online (Microsoft 365)

Detalles de explotación

• No requiere autenticación: El ataque puede realizarse desde internet contra servidores expuestos.
• Vector: Mediante una petición HTTP POST especialmente forjada hacia /_layouts/15/ToolPane.aspx?DisplayMode=Edit con un Referer falsificado /_layouts/SignOut.aspx, el atacante evade la autenticación y las verificaciones de integridad (form digest).
• A continuación, el atacante sube un fichero .aspx malicioso (ejemplo: spinstall0.aspx) que permite robar claves criptográficas (ValidationKey), persistir y firmar nuevos payloads aceptados por el servidor.
• La explotación ha sido confirmada con múltiples variantes de webshells y cargas de .NET; campañas atribuidas a actores como Storm-2603 y grupos estatales[3][4][8].

Impacto

• Compromiso completo: Ejecución de comandos SO, robo de datos, claves, tokens y credenciales.
• Persistencia: Claves obtenidas permiten futuros accesos, incluso tras reinicios.
• Despliegue de ransomware: Se han detectado familias como Warlock tras la explotación[7].
• Exploitabilidad: Muy sencilla, múltiples exploits públicos y análisis han confirmado la facilidad de uso.
• Ataque dirigido: Objetivos han incluido sectores gubernamentales, defensa, instituciones educativas, salud y empresas tecnológicas.

Detección e indicadores

• Presencia de archivos sospechosos como spinstall0.aspx (o variantes: spinstall1.aspx, etc.) en directorios de layouts de SharePoint.
• Registros de peticiones POST al endpoint ToolPane.aspx con Referer SignOut.aspx.
• Cambios no autorizados en las claves ASP.NET del servidor.
• Alertas de AMSI y Defender asociadas a cargas anómalas o actividad de webshell.

Medidas y mitigaciones

• Aplicar inmediatamente los parches oficiales de Microsoft para SharePoint, incluidos los de julio 2025 y posteriores[1][4].
• Habilitar y configurar AMSI y Microsoft Defender Antivirus en todos los servidores SharePoint.
• Rotar todas las claves ASP.NET machineKey y reiniciar IIS tras parchear.
  

  Set-SPMachineKey -WebApplication <SPWebApplicationPipeBind>
  Update-SPMachineKey -WebApplication <SPWebApplicationPipeBind>
  iisreset.exe
        

• Desconectar temporalmente de Internet los servidores vulnerables hasta completar parcheo y hardening.
• Realizar investigación forense y detectar signos de compromiso utilizando indicadores publicados por Microsoft y CISA.
• Monitorizar logs en busca de webshells y actividad post-explotación.

Resumen en tabla