Investigadores de seguridad han desarrollado un nuevo módulo de explotación para Metasploit que se dirige a vulnerabilidades críticas de día cero en Microsoft SharePoint Server, las cuales están siendo activamente explotadas. Este módulo, identificado como solicitud de extracción #20409 en el repositorio de Metasploit Framework, aborda las vulnerabilidades CVE-2025-53770 y CVE-2025-53771. Ambas permiten ataques de ejecución remota de código (RCE) no autenticados en instalaciones de SharePoint vulnerables.
Módulo Metasploit para vulnerabilidades de día cero en SharePoint
Las vulnerabilidades recién descubiertas representan sofisticadas omisiones de parches para fallos de seguridad previamente revelados, CVE-2025-49704 y CVE-2025-49706. Rapid7 confirmó que la explotación de estas vulnerabilidades fue observada por primera vez en ataques activos alrededor del 19 de julio de 2025. Estos ataques utilizan una única solicitud HTTP para comprometer los servidores de SharePoint.
El exploit se dirige específicamente al punto final /_layouts/15/ToolPane.aspx, aprovechando una vulnerabilidad de deserialización para lograr la ejecución de código con privilegios de SISTEMA. Este vector de ataque es notablemente sencillo, requiriendo solo una única solicitud HTTP maliciosa que contenga una carga útil de deserialización .NET especialmente diseñada. Durante las pruebas, el módulo comprometió con éxito un sistema Windows Server 2022 que ejecutaba SharePoint Server 2019 versión 16.0.10417.20027, estableciendo una sesión de Meterpreter dentro del directorio c:\windows\system32\inetsrv.
El módulo Metasploit exploit/windows/http/sharepoint_toolpane_rce admite múltiples configuraciones de carga útil, incluyendo cmd/windows/http/x64/meterpreter_reverse_tcp para sesiones interactivas completas y cmd/windows/generic para la ejecución de comandos. El exploit utiliza las rutinas Msf::Util::DotNetDeserialization para construir cargas útiles maliciosas, reemplazando la cadena de dispositivos original codificada en base64 descubierta en ataques en vivo. Las opciones actuales del módulo incluyen la configuración de hosts de destino (RHOSTS), puertos (RPORT), negociación SSL y soporte de proxy a través de varios protocolos como SOCKS4, SOCKS5 y HTTP. El mecanismo de entrega de la carga útil admite múltiples comandos de recuperación, como CERTUTIL, CURL y TFTP, con capacidades de limpieza automática para eliminar artefactos después de la ejecución.
Mitigaciones
La vulnerabilidad afecta las instalaciones de Microsoft SharePoint Server, particularmente aquellas que ejecutan la versión 2019. Los intentos iniciales de parche a través de KB5002741 implementaron comprobaciones de validación de rutas para los puntos finales ToolPane.aspx, pero el nuevo exploit logra eludir estas protecciones. Las pruebas revelaron que algunas configuraciones de SharePoint con requisitos de autenticación pueden necesitar ajustes de punto final de error.aspx a start.aspx para una verificación exitosa de la explotación.
Las organizaciones deben revisar inmediatamente sus implementaciones de SharePoint para detectar indicadores de compromiso e implementar protecciones a nivel de red mientras esperan los parches oficiales de Microsoft. La explotación activa de estas vulnerabilidades, combinada con su naturaleza no autenticada, presenta riesgos significativos para los entornos empresariales que ejecutan versiones de SharePoint afectadas.
