Vulnerabilitat de dia zero CVE-2025-53770

Una greu falla de seguretat a Microsoft SharePoint Server s'ha convertit en el focus d'una campanya de ciberatacs a gran escala. Registrada com a CVE-2025-53770 amb una puntuació CVSS de 9,8, aquesta vulnerabilitat es classifica com a zero-day i està estretament relacionada amb CVE-2025-49704 (CVSS 8.8), un error d'injecció de codi i execució remota de codi que es va solucionar durant les actualitzacions de Patch Tuesday de juliol de 2025 de Microsoft. La falla prové de la deserialització de dades no fiables, que permet als atacants executar codi maliciós de forma remota i sense l'autorització adequada.

Atacs actius i sistemes afectats

Els investigadors han confirmat que els ciberdelinqüents estan explotant activament aquesta vulnerabilitat contra instàncies locals de SharePoint Server. És important destacar que SharePoint Online a Microsoft 365 no es veu afectat. Els atacants estan explotant la manera com SharePoint gestiona els objectes no fiables durant la desserialització, cosa que els atorga la capacitat d'executar ordres abans de l'autenticació de l'usuari. Un cop dins del sistema, els atacants poden generar càrregues útils falsificades utilitzant claus de màquina robades, cosa que permet el moviment lateral i l'accés persistent. Això fa que la detecció i la mitigació siguin difícils, ja que la seva activitat pot imitar el trànsit legítim de SharePoint.

Cadenes d’explotació complexes

L'evidència suggereix que CVE-2025-53770 s'està utilitzant juntament amb altres defectes, inclosos CVE-2025-49706 (un error de suplantació d'identitat amb una puntuació CVSS de 6,3) i CVE-2025-49704, per formar una cadena d'explotació avançada coneguda com a ToolShell. Els atacants aprofiten CVE-2025-49706 per lliurar càrregues útils d'execució de codi remota que exploten CVE-2025-49704. Afegir '_layouts/SignOut.aspx' com a referent HTTP transforma CVE-2025-49706 en CVE-2025-53770, permetent un procés d'explotació més simplificat.

Els atacs solen utilitzar càrregues útils ASPX lliurades a través de PowerShell, amb l'objectiu de robar la configuració MachineKey del servidor (ValidationKey i DecryptionKey). Aquestes claus són crítiques perquè permeten als atacants crear càrregues útils __VIEWSTATE malicioses que SharePoint acceptarà com a vàlides, convertint eficaçment qualsevol sol·licitud autenticada en una oportunitat d'execució remota de codi.

Escala de compromís

Fins ara, més de 85 servidors de SharePoint a tot el món han estat compromesos, cosa que ha afectat almenys 29 organitzacions, incloent-hi corporacions multinacionals i agències governamentals. Un cop els atacants tenen les claus criptogràfiques, la remediació esdevé molt més complicada. Fins i tot després d'aplicar un pegat de seguretat, les claus robades encara poden permetre als atacants mantenir l'accés, tret que aquestes claus es rotin o es reconfiguren manualment.

Mesures de mitigació

Fins que no estigués disponible un pegat oficial, Microsoft va aconsellar a les organitzacions que habilitessin la integració de la interfície d'escaneig de programari antimalware (AMSI) al SharePoint. Per als clients que no poguessin activar AMSI, es recomanava fermament desconnectar els servidors vulnerables del SharePoint d'Internet.

Arran dels informes d'explotació en curs, Microsoft ha publicat pegats tant per a la CVE-2025-53770 com per a una falla recentment descoberta, la CVE-2025-53771, per protegir els sistemes vulnerables.

Avís de la CISA

L'Agència de Ciberseguretat i Seguretat d'Infraestructures dels Estats Units (CISA) ha emès una alerta confirmant l'explotació activa de la vulnerabilitat CVE-2025-53770. Aquesta vulnerabilitat permet als atacants executar codi remotament i sense autenticació a través de la xarxa, cosa que representa una greu amenaça per a qualsevol entorn de SharePoint sense pegats.