Hackers secuestra la falla de Microsoft SharePoint para desatar el ransomware devastador que ya está golpeando los sistemas del gobierno de los Estados Unidos.
- Un error de código remoto en SharePoint permite a los hackers secuestrar sistemas sin siquiera iniciar sesión
- Storm-2603 está explotando servidores no parpadeados que usan errores encadenados para obtener acceso a largo plazo sin detectar
- Toolshell obtuvo un perfecto 10 en la escala de riesgo de Bitsight, desencadenando una preocupación federal inmediata
Un defecto crítico en las instalaciones Servidores de Microsoft SharePoint se ha intensificado en una crisis de ciberseguridad más amplia, a medida que los atacantes se mueven del espionaje al extorsión.
La campaña, inicialmente rastreada a una vulnerabilidad que permitió el acceso sigiloso, ahora está distribuyendo ransomwareun desarrollo que agrega una capa alarmante de interrupción a lo que se entendió anteriormente como una intrusión centrada en datos.
Microsoft ha vinculado este pivote con un actor de amenaza al que se refiere como “Storm-2603”, y las víctimas cuyos sistemas han sido bloqueados deben pagar un rescate, típicamente en la criptomoneda.
Desde acceso silencioso a extorsión completa
En el corazón del compromiso hay dos vulnerabilidades severas, que son CVE-2025-53770, denominadas “Shellshell” y su variante CVE-2025-53771.
Estos defectos permiten la ejecución de código remoto no autenticado, dando a los atacantes control sobre los sistemas no parpados simplemente enviando una solicitud elaborada.
La ausencia de requisitos de inicio de sesión hace que estas hazañas sean particularmente peligrosas para las organizaciones que han retrasado la aplicación de actualizaciones de seguridad.
Expertos de Vía bits Reclamar CVE-2025-53770 puntúa el máximo 10 en su escala de explotación de vulnerabilidad dinámica (DVE), destacando la urgencia de la remediación.
Las empresas de seguridad han notado un aumento agudo en los ataques. Eye Security, que primero informó signos de compromiso, estimó 400 víctimas confirmadas, en comparación con los 100 durante el fin de semana, y advirtió que el número real es probablemente mucho mayor.
“Hay muchos más, porque no todos los vectores de ataque han dejado artefactos que podríamos escanear”, dijo Vaisha Bernard, Hacker Jefe para la Seguridad Eye.
Agencias gubernamentales de los Estados Unidos, incluido el NIH y, según los informes, el Departamento de Seguridad Nacional (DHS), también han sido afectados.
En respuesta, CISA, el CyberDefensa del DHS brazoha agregado CVE-2025-53770 a su lista de vulnerabilidades explotadas conocidas, que exige la acción inmediata entre los sistemas federales una vez que se lanzan parches.
Se dice que una cepa en la circulación es el ransomware “brujo”, distribuido libremente en entornos comprometidos.
El patrón de exploits encadenados, que combina los CVE más nuevos con los más antiguos como CVE-2025-49704, apunta a un problema estructural más profundo en la seguridad de las instancias de SharePoint en las instalaciones.
Según los informes, los atacantes han logrado evitar la autenticación multifactor, robar claves de la máquina y mantener el acceso persistente en las redes afectadas.
Si bien SharePoint Online en Microsoft 365 no se ve afectado, el impacto en las implementaciones tradicionales del servidor ha sido generalizado.
Los investigadores estiman más de 75 a 85 servidores a nivel mundial ya se han visto comprometidos, con sectores afectados que abarcan el gobierno, las finanzas, la atención médica, la educación, las telecomunicaciones y la energía.
A nivel mundial, hasta 9,000 servicios expuestos permanecen en riesgo si se dejan sin parches.
Se insta a las organizaciones a instalar las últimas actualizaciones, KB5002768 para la edición de suscripción, KB5002754 para SharePoint 2019 y KB5002760 para SharePoint 2016.
Microsoft también recomienda la integración de los valores de kilómetros giratorios posteriores al parche y habilita la integración de AMSI (interfaz de escaneo de antimalware) con el antivirus de defensor.
La orientación adicional incluye escanear para obtener signos de compromiso, como la presencia de spinstall0.aspx shells web y registros de monitoreo para un movimiento lateral inusual.
Además, algunas organizaciones ahora están explorando Ztna y VPN de negocios modelos para aislar sistemas críticos y acceso al segmento.
Sin embargo, estas medidas solo son efectivas si se combinan con fuertes protección del punto final y gestión oportuna de parches.
A través de Reuters
