Microsoft emite solución de emergencia para cerrar una vulnerabilidad en SharePoint

NUEVA YORK (AP) — Microsoft emitió una solución de emergencia para cerrar una vulnerabilidad en su ampliamente utilizado software SharePoint, que los hackers explotaron para llevar a cabo ataques generalizados a empresas y al menos algunas agencias gubernamentales de Estados Unidos.

La compañía emitió una alerta a los clientes el sábado, indicando que estaba al tanto del “zero-day exploit” (la vulnerabilidad) que se utilizaba para realizar ataques y que estaba trabajando para solucionar el problema. Microsoft actualizó su guía el domingo con instrucciones para solucionar el problema en SharePoint Server 2019 y SharePoint Server Subscription Edition. Los ingenieros aún trabajaban en una solución para la versión SharePoint Server 2016, el software más antiguo.

“Cualquiera que tenga un servidor SharePoint alojado tiene un problema. Es una vulnerabilidad significativa”, indicó Adam Meyers, vicepresidente senior de CrowdStrike, una firma de ciberseguridad.

Empresas y agencias gubernamentales de todo el mundo utilizan SharePoint para la gestión interna de documentos, organización de datos y colaboración.

Un zero-day exploit es un ciberataque que aprovecha una vulnerabilidad de seguridad previamente desconocida. “Zero day” o “día cero” se refiere al hecho de que los ingenieros de seguridad han tenido cero días para desarrollar una solución para la vulnerabilidad.

Según la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA), el exploit que afecta a SharePoint es “una variante de la vulnerabilidad existente CVE-2025-49706 y representa un riesgo para las organizaciones con servidores SharePoint locales”.

Los investigadores de seguridad advirtieron que el exploit, conocido supuestamente como “ToolShell”, es grave y puede permitir a los actores acceder completamente a los sistemas de archivos de SharePoint, incluidos los servicios conectados como Teams y OneDrive.

El Grupo de Inteligencia de Amenazas de Google advirtió que la vulnerabilidad puede permitir a los actores malintencionados “eludir futuros parches”.

Eye Security dijo en un blog que escaneó más de 8.000 servidores SharePoint en todo el mundo y descubrió que al menos docenas de sistemas fueron comprometidos. La compañía de ciberseguridad dijo que los ataques probablemente comenzaron el 18 de julio.

La vulnerabilidad potencialmente afectó a agencias gubernamentales, escuelas, sistemas de salud y empresas.

Microsoft indicó que la vulnerabilidad afecta solo a los servidores SharePoint locales utilizados dentro de empresas u organizaciones, y no afecta al servicio SharePoint Online basado en la nube de Microsoft.

La vulnerabilidad apunta al software del servidor SharePoint, por lo que los clientes de ese producto seguirían de inmediato la guía de Microsoft para parchear sus sistemas.

Aunque el alcance del ataque aún se evaluaba, CISA advirtió que el impacto podría ser generalizado y recomendó que cualquier servidor afectado por el exploit debería desconectarse de internet hasta que se apliquen los parches. Los ingenieros de Microsoft también recomendaron desconectar los sistemas afectados hasta que se puedan aplicar las soluciones.

_____

Esta historia fue traducida del inglés por un editor de AP con la ayuda de una herramienta de inteligencia artificial generativa.