Los investigadores del gobierno federal y la ciberseguridad de los Estados Unidos dicen que un error de seguridad recientemente descubierto que se encuentra en el sharePoint de Microsoft está bajo ataque.
La agencia de ciberseguridad de EE. UU. CISA emitió una alarma este fin de semana de que los piratas informáticos están utilizando activamente errores. Microsoft aún no ha proporcionado parches para todas las versiones de SharePoint afectadas, y los clientes de todo el mundo apenas pueden defenderse de las intrusiones en curso.
Microsoft dijo que el error, oficialmente conocido como CVE-2025-53770, afecta la versión de SharePoint que las empresas configuran y administran en sus propios servidores. Las compañías de SharePoint pueden almacenar, compartir y administrar archivos internos.
Microsoft dijo que está trabajando en correcciones de seguridad para evitar que los piratas informáticos exploten vulnerabilidades. Un defecto llamado “día cero” afecta las versiones de software más antiguas, como SharePoint Server 2016, porque al proveedor no se le dio tiempo para parchear el error antes de ser reconocido.
Todavía no está claro cuántos servidores están en riesgo hasta ahora, pero es posible que miles de empresas medianas que confían en el software se ven afectados. Según el Washington Post, varias agencias federales, universidades y empresas de energía estadounidenses ya han sido violadas por el ataque.
La seguridad de IE, que reveló por primera vez el error el sábado, dijo que descubrió “docenas” de servidores de Microsoft SharePoint que fueron explotados activamente en línea en el momento de la publicación. Un error puede, si se explota, permitir que los piratas informáticos roben claves digitales privadas de los servidores de SharePoint sin la necesidad de que las credenciales inicien sesión. Los piratas informáticos pueden plantar malware de forma remota y acceder a archivos y datos almacenados en el interior. Eye Security advirtió que SharePoint podría conectarse con otras aplicaciones como Outlook, Teams, OneDrive, permitiendo más compromisos de red y robo de datos.
Según la seguridad ocular, el error implica robo de claves digitales porque requiere que ambos clientes afectados se supliquen una solicitud legítima en el servidor, realizando pasos adicionales para parchear el error y rotar la tecla digital y realizar pasos adicionales para evitar que los piratas informáticos reconfiguren el servidor.
CISA y otros instan a los clientes a “tomar acciones inmediatas y recomendadas”. En ausencia de parches o mitigación, los clientes deben considerar los sistemas de desconexión que se ven potencialmente afectados de Internet.
“Si SharePoint (en las instalaciones) está expuesto a Internet, debemos suponer que nos hemos comprometido en este momento”, dijo Michael Sikorski, jefe de la Unidad 42 de inteligencia de amenazas en Palo Alto Networks, en un correo electrónico a TechCrunch.
Y aunque aún se desconoce quién está ejecutando los ataques contra los servidores de SharePoint, es lo último de una serie de ataques cibernéticos dirigidos a clientes de Microsoft en los últimos años.
En 2021, un grupo de piratería respaldado por chinos llamado Hafnium fue capturado utilizando una vulnerabilidad que se encuentra en los servidores de correo de intercambio de Microsoft autohospedados, lo que permite la supresión masiva y la delaminación de los datos de correo electrónico y contacto de las empresas de todo el mundo. Según una reciente acusación del Departamento de Justicia, los piratas informáticos han violado más de 60,000 servidores.
Dos años más tarde, Microsoft revisó directamente los ciberataques en los sistemas de la nube, permitiendo a los piratas informáticos chinos robar claves de firma de correo electrónico confidenciales que permiten a la compañía acceder a cuentas de correo electrónico de consumidores y empresas.
Microsoft también ha reportado repetidas intrusiones de piratas informáticos relacionados con el gobierno ruso.
¿Sabes más sobre los ciberataques de SharePoint? ¿Eres un cliente afectado? Póngase en contacto con este reportero de forma segura a través de un mensaje encriptado con Zackwhittaker.1337.
Las versiones anteriores de esta historia indican el número CVE incorrecto. La historia se fijó para notar la vulnerabilidad correcta, CVE-2025-53770.
