La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) ha emitido una alerta de seguridad urgente respecto a una vulnerabilidad crítica de día cero en Microsoft SharePoint Server (identificada como CVE-2025-53770). Esta vulnerabilidad está siendo explotada activamente en ciberataques y representa una amenaza significativa para las organizaciones que utilizan instalaciones locales de SharePoint.
Detalles de la Vulnerabilidad y Riesgos Asociados
La falla se origina en una deserialización de datos no confiables dentro de los entornos locales de Microsoft SharePoint Server. Esta debilidad permite a atacantes no autorizados ejecutar código arbitrario de forma remota a través de la red, lo que podría otorgarles control total sobre los sistemas afectados. La vulnerabilidad está clasificada bajo la Enumeración de Debilidades Comunes (CWE-502), que se refiere al procesamiento inseguro de datos serializados de fuentes no confiables.
Medidas de Respuesta Inmediata Requeridas
CISA ha establecido el 21 de julio de 2025 como la fecha límite crítica para que las organizaciones implementen medidas de protección, apenas un día después de que la vulnerabilidad fuera añadida al Catálogo de Vulnerabilidades Explotadas Conocidas de la agencia el 20 de julio de 2025. Este cronograma extremadamente ajustado subraya la gravedad de la amenaza y la explotación activa que está ocurriendo.
La principal recomendación de CISA es configurar la integración de la Interfaz de Escaneo Antimalware (AMSI) dentro de los entornos de SharePoint e implementar Microsoft Defender Antivirus en todos los servidores de SharePoint. Estas acciones pueden ayudar a detectar y prevenir intentos de ejecución de código malicioso dirigidos a la vulnerabilidad.
Para las organizaciones que no puedan habilitar la integración de AMSI de inmediato, CISA ha emitido una guía más drástica: desconectar todos los productos SharePoint orientados al público de los servicios de Internet hasta que las mitigaciones oficiales estén disponibles. Esta recomendación resalta la naturaleza crítica de la vulnerabilidad y el potencial de una explotación generalizada.
Impacto Potencial y Recomendaciones Adicionales
Esta vulnerabilidad plantea riesgos particulares para organizaciones con implementaciones de SharePoint expuestas a Internet, que son comunes en entornos empresariales para la colaboración y la gestión de documentos. La falla de deserialización podría servir como un punto de entrada para operadores de ransomware, aunque CISA aún no ha confirmado si la vulnerabilidad se está utilizando en campañas de este tipo.
Las organizaciones deben seguir la guía aplicable de la Directiva Operativa Vinculante (BOD) 22-01 para servicios en la nube y considerar suspender el uso del producto si no se pueden implementar las mitigaciones adecuadas. CISA enfatiza que, una vez que Microsoft publique parches o mitigaciones oficiales, las organizaciones deben aplicarlos inmediatamente de acuerdo con las instrucciones de CISA y del proveedor.
Este incidente demuestra los desafíos continuos que enfrentan las organizaciones con las vulnerabilidades de día cero en el software empresarial ampliamente implementado. El rápido cronograma entre el descubrimiento y la corrección requerida refleja el sofisticado panorama de amenazas y la necesidad de que las organizaciones mantengan capacidades sólidas de respuesta a incidentes. Los equipos de seguridad deben monitorear de cerca los avisos de seguridad de Microsoft para detectar parches oficiales y continuar implementando las protecciones provisionales recomendadas por CISA para minimizar la exposición a esta vulnerabilidad crítica.
