Queremos llamar su atención sobre una vulnerabilidad de seguridad actualmente explotada en Microsoft SharePoint , que supone riesgos considerables para sistemas operados exclusivamente localmente («on-premises»).
La agencia estadounidense de ciberseguridad CISA y la propia Microsoft informan de ataques activos a sistemas que explotan la vulnerabilidad CVE-2025-53770, también conocida como «ToolShell». A continuación encontrarás una visión general del incidente así como medidas concretas que puedes tomar para proteger tus sistemas.
¿Qué ha pasado?
La vulnerabilidad CVE-2025-53770 permite a los atacantes acceder a servidores de SharePoint sin iniciar sesión («no autenticado») y ejecutar código arbitrario a través de la red (= RCE → Ejecución remota de código). Es una variante de la ya conocida vulnerabilidad CVE-2025-49706 y se basa en la deserialización defectuosa, un proceso técnico en el que los datos se convierten a un formato legible. Si esto no está suficientemente asegurado, se puede introducir y ejecutar código malicioso.
Los atacantes pueden obtener acceso completo al servidor y luego a la infraestructura que lo rodea, incluyendo almacenamiento de archivos, configuración y contenido sensible. El incidente solo afecta a las instalaciones locales de SharePoint; según Microsoft, SharePoint Online (Microsoft 365) no se ve afectado.
¿Qué se ve afectado?
La vulnerabilidad solo afecta a las empresas que operan Microsoft SharePoint localmente (on-premises).
Específicamente, las siguientes versiones están en riesgo:
La versión en la nube de SharePoint Online, que funciona en Microsoft 365, no se ve afectada.
La situación es especialmente crítica si los servidores afectados son accesibles directamente a través de Internet y faltan medidas de protección importantes o actualizaciones.
¿Cómo puedo protegerme?
Los responsables de TI deberían comprobar en particular los siguientes patrones de ataque:
