Microsoft ha emitido parches de seguridad urgentes para dos vulnerabilidades de día cero, CVE-2025-53770 y CVE-2025-53771, afectando a Microsoft SharePoint. Estos defectos han sido explotados activamente en los ataques de “cáscara de herramientas” a nivel mundial, impactando a más de 54 organizaciones.
Las vulnerabilidades surgieron después de que los actores de amenaza pasaron las correcciones lanzadas en las actualizaciones del martes del parche de julio. Estas actualizaciones iniciales tenían la intención de abordar una cadena de vulnerabilidades de día cero de la “herramienta” que permitió la ejecución de código remoto en Microsoft SharePoint, demostrado por primera vez en el concurso PWN2OWN en Berlín en mayo.
Microsoft ha lanzado rápidamente actualizaciones de seguridad fuera de banda para la edición de suscripción de Microsoft SharePoint y SharePoint 2019 para mitigar CVE-2025-53770 y CVE-2025-53771. La compañía confirmó que estas nuevas actualizaciones ofrecen “protecciones más robustas” en comparación con las soluciones anteriores para CVE-2025-49704 y CVE-2025-49706, respectivamente. Todavía está pendiente una actualización para Microsoft SharePoint Enterprise Server 2016.
Se recomienda encarecidamente a los administradores de SharePoint que instalen estas actualizaciones críticas de inmediato: KB5002754 para Microsoft SharePoint Server 2019 y KB5002768 para Microsoft SharePoint Subscription Edition.
Más allá de aplicar los parches, Microsoft insta a los administradores a rotar sus claves de la máquina SharePoint. Esto se puede hacer manualmente a través de PowerShell usando el Update-SPMachineKey cmdlet o a través del administrador central activando el trabajo de temporizador “Job de rotación de la clave de la máquina”. Después de la rotación, un reinicio de IIS (iisreset.exe) En todos los servidores de SharePoint se recomiendan.
Los administradores también deben realizar un análisis exhaustivo de sus registros y sistemas de archivos para obtener signos de compromiso o intentos de explotación. Los indicadores clave incluyen la creación del archivo C:PROGRA~1COMMON~1MICROS~1WEBSER~116TEMPLATELAYOUTSspinstall0.aspxy los registros de IIS que muestran una solicitud de publicación a _layouts/15/ToolPane.aspx?DisplayMode=Edit&a=/ToolPane.aspx con un referente http de _layouts/SignOut.aspx.
Microsoft ha proporcionado una consulta de defensores de Microsoft 365 para ayudar a detectar la presencia del spinstall0.aspx archivo:
DeviceFileEvents
| where FolderPath has "MICROS~1\WEBSER~1\16\TEMPLATE\LAYOUTS"
| where FileName =~ "spinstall0.aspx"
or FileName has "spinstall0"
| project Timestamp, DeviceName, InitiatingProcessFileName, InitiatingProcessCommandLine, FileName, FolderPath, ReportId, ActionType, SHA256
| order by Timestamp desc
Si se encuentra este archivo, una investigación integral del servidor y la red afectados es crucial para garantizar que los actores de amenaza no hayan ampliado su acceso a otros dispositivos.
