{"id":148102,"date":"2025-07-31T08:23:56","date_gmt":"2025-07-31T15:23:56","guid":{"rendered":"https:\/\/unit42.paloaltonetworks.com\/?p=148102"},"modified":"2025-08-04T08:17:11","modified_gmt":"2025-08-04T15:17:11","slug":"microsoft-sharepoint-cve-2025-49704-cve-2025-49706-cve-2025-53770","status":"publish","type":"post","link":"https:\/\/unit42.paloaltonetworks.com\/es-la\/microsoft-sharepoint-cve-2025-49704-cve-2025-49706-cve-2025-53770\/","title":{"rendered":"Explotaci\u00f3n activa de las vulnerabilidades de Microsoft SharePoint (Actualizado el 31 de julio)"},"content":{"rendered":"<h2><a id=\"post-148102-_heading=h.60wbsvxhvww6\"><\/a>Resumen ejecutivo<\/h2>\n<p><b>Actualizaci\u00f3n del 31 de julio de 2025<\/b><\/p>\n<p>Una investigaci\u00f3n sobre la explotaci\u00f3n de ToolShell revel\u00f3 el despliegue del ransomware 4L4MD4R, una variante del ransomware de c\u00f3digo abierto Mauri870.<\/p>\n<p>Un intento de explotaci\u00f3n fallido el 27 de julio de 2025, que involucr\u00f3 un comando de PowerShell codificado, llev\u00f3 al descubrimiento de un <i>loader<\/i> dise\u00f1ado para descargar y ejecutar el ransomware desde <span style=\"font-family: 'courier new', courier, monospace;\">hxxps:\/\/ice.theinnovationfactory[.]it\/static\/4l4md4r.exe<\/span> (<span style=\"font-family: 'courier new', courier, monospace;\">145.239.97[.]206<\/span>).<\/p>\n<p>El comando de PowerShell intent\u00f3 deshabilitar el monitoreo en tiempo real y omitir la validaci\u00f3n de certificados. Los detalles completos se encuentran en la secci\u00f3n \"Alcance del Ataque\".<\/p>\n<p><b>Actualizaci\u00f3n del 29 de julio de 2025<\/b><\/p>\n<p><span style=\"font-weight: 400;\">La telemetr\u00eda de Unit 42 registr\u00f3 intentos de explotaci\u00f3n de la vulnerabilidad CVE-2025-53770 desde el 17 de julio de 2025 a las 08:40 UTC hasta el 22 de julio de 2025, procedentes de la actividad de amenaza rastreada como CL-CRI-1040.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">A partir del 17 de julio de 2025 a las 06:58 UTC, se observaron pruebas de vulnerabilidad previas a la explotaci\u00f3n en servidores de SharePoint por parte de las direcciones IP de CL-CRI-1040. Los patrones en los intentos de explotaci\u00f3n indican el uso de una lista est\u00e1tica de servidores de SharePoint como objetivos.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Una de las direcciones IP que explota la CVE-2025-53770 como parte de CL-CRI-1040 coincide con el cl\u00faster Storm-2603, <a href=\"https:\/\/www.microsoft.com\/en-us\/security\/blog\/2025\/07\/22\/disrupting-active-exploitation-of-on-premises-sharepoint-vulnerabilities\/\" target=\"_blank\" rel=\"noopener\">mencionado por Microsoft<\/a>. Actualmente nos encontramos investigando este cl\u00faster para obtener m\u00e1s informaci\u00f3n sobre los actores involucrados.<\/span><\/p>\n<p>Unit\u00a042 supervisa la actividad de amenazas continuas y de alto impacto dirigidas a los servidores de Microsoft SharePoint autoalojados. Mientras que los entornos de nube no se ven afectados, las implementaciones de SharePoint en las instalaciones, especialmente en administraciones p\u00fablicas, escuelas, atenci\u00f3n m\u00e9dica (incluidos hospitales) y grandes empresas, corren un riesgo inmediato.<\/p>\n<p>Los servidores Microsoft SharePoint locales se enfrentan actualmente a una explotaci\u00f3n activa y generalizada debido a m\u00faltiples vulnerabilidades, denominadas colectivamente \u00abToolShell\u00bb ((<a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2025-49704\" target=\"_blank\" rel=\"noopener\">CVE-2025-49704<\/a>, <a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2025-49706\" target=\"_blank\" rel=\"noopener\">CVE-2025-49706<\/a>, <a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2025-53770\" target=\"_blank\" rel=\"noopener\">CVE-2025-53770, <\/a><a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2025-53771\" target=\"_blank\" rel=\"noopener\">CVE-2025-53771<\/a>). Estas vulnerabilidades permiten a los atacantes lograr la ejecuci\u00f3n remota completa de c\u00f3digo (RCE) sin necesidad de credenciales. Un servidor SharePoint comprometido supone un riesgo importante para las organizaciones, ya que puede servir de puerta de entrada a otros servicios integrados de Microsoft.<\/p>\n<p>Adem\u00e1s de los informes CVE, Microsoft public\u00f3 <a href=\"https:\/\/msrc.microsoft.com\/blog\/2025\/07\/customer-guidance-for-sharepoint-vulnerability-cve-2025-53770\/\" target=\"_blank\" rel=\"noopener\">gu\u00edas adicionales<\/a> sobre estas vulnerabilidades. Las vulnerabilidades, sus puntuaciones CVSS y sus descripciones se detallan en la Tabla 1.<\/p>\n<table style=\"width: 100.534%;\">\n<tbody>\n<tr>\n<td style=\"width: 17.2168%; text-align: center;\"><strong>N.\u00ba de CVE<\/strong><\/td>\n<td style=\"width: 71.9893%; text-align: center;\"><strong>Descripci\u00f3n<\/strong><\/td>\n<td style=\"width: 10.5263%; text-align: center;\"><strong>Puntuaci\u00f3n CVSS<\/strong><\/td>\n<\/tr>\n<tr>\n<td style=\"width: 17.2168%; text-align: center;\"><a href=\"https:\/\/www.cve.org\/CVERecord?id=CVE-2025-49704\" target=\"_blank\" rel=\"noopener\">CVE-2025-49704<\/a><\/td>\n<td style=\"width: 71.9893%;\">El control inadecuado de la generaci\u00f3n de c\u00f3digo (inyecci\u00f3n de c\u00f3digo) en Microsoft Office SharePoint permite a un atacante autorizado ejecutar c\u00f3digo a trav\u00e9s de una red.<\/td>\n<td style=\"width: 10.5263%; text-align: center;\">8.8<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 17.2168%; text-align: center;\"><a href=\"https:\/\/www.cve.org\/CVERecord?id=CVE-2025-49706\" target=\"_blank\" rel=\"noopener\">CVE-2025-49706<\/a><\/td>\n<td style=\"width: 71.9893%;\">La autenticaci\u00f3n incorrecta en Microsoft Office SharePoint permite a un atacante autorizado realizar suplantaci\u00f3n de identidad a trav\u00e9s de una red.<\/td>\n<td style=\"width: 10.5263%; text-align: center;\">6.5<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 17.2168%; text-align: center;\"><a href=\"https:\/\/www.cve.org\/CVERecord?id=CVE-2025-53770\" target=\"_blank\" rel=\"noopener\">CVE-2025-53770<\/a><\/td>\n<td style=\"width: 71.9893%;\">La deserializaci\u00f3n de datos no confiables en el servidor de Microsoft SharePoint en las instalaciones permite a un atacante no autorizado ejecutar c\u00f3digo a trav\u00e9s de una red.<\/td>\n<td style=\"width: 10.5263%; text-align: center;\">9.8<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 17.2168%; text-align: center;\"><a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2025-53771\" target=\"_blank\" rel=\"noopener\">CVE-2025-53771<\/a><\/td>\n<td style=\"width: 71.9893%;\">La limitaci\u00f3n inadecuada de una ruta a un directorio restringido (path traversal) en Microsoft Office SharePoint permite a un atacante autorizado realizar suplantaci\u00f3n de identidad a trav\u00e9s de una red.<\/td>\n<td style=\"width: 10.5263%; text-align: center;\">6.5<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p>Tabla\u00a01. Lista de vulnerabilidades recientes que afectan Microsoft SharePoint.<\/p>\n<p>Todas estas vulnerabilidades se aplican al servidor Microsoft SharePoint Enterprise Server 2016 y 2019. CVE-2025-49706 y CVE-2025-53770 tambi\u00e9n se aplican a Microsoft SharePoint Server Subscription Edition. Microsoft afirm\u00f3 que SharePoint Online en Microsoft 365 no se ver\u00e1 afectado.<\/p>\n<p>Actualmente estamos trabajando en estrecha colaboraci\u00f3n con el Centro de respuesta de seguridad de Microsoft (MSRC) para garantizar que nuestros clientes dispongan de la informaci\u00f3n m\u00e1s reciente y estamos notificando activamente a los clientes afectados y a otras organizaciones. Esta situaci\u00f3n evoluciona r\u00e1pidamente, por lo que es aconsejable consultar con frecuencia las recomendaciones de Microsoft.<\/p>\n<p>Notamos una explotaci\u00f3n activa de estas vulnerabilidades de SharePoint. Los atacantes se saltan los controles de identidad, incluida la autenticaci\u00f3n multifactor (MFA) y el inicio de sesi\u00f3n \u00fanico (SSO), para obtener acceso privilegiado. Una vez dentro, filtran datos confidenciales, implementan puertas traseras persistentes y roban claves criptogr\u00e1ficas.<\/p>\n<p>Los atacantes aprovecharon estas vulnerabilidades para infiltrarse en los sistemas y, en algunos casos, ya est\u00e1n estableciendo su posici\u00f3n. Si tiene SharePoint en las instalaciones expuesto a Internet, debe asumir que ha sido comprometido. Los parches por s\u00ed solos no bastan para desalojar por completo la amenaza.<\/p>\n<p>Pedimos a las organizaciones que utilizan SharePoint vulnerable en sus instalaciones que tomen las siguientes medidas de inmediato:<\/p>\n<ul>\n<li>Apliquen todos los parches pertinentes ahora y a medida que est\u00e9n disponibles.<\/li>\n<li>Roten todo el material criptogr\u00e1fico.<\/li>\n<li>Contraten a profesionales de respuesta ante incidentes.<\/li>\n<\/ul>\n<p>Palo Alto Networks tambi\u00e9n recomienda seguir las gu\u00edas de Microsoft sobre parches o mitigaci\u00f3n. <a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2025-49704\" target=\"_blank\" rel=\"noopener\">CVE-2025-49704<\/a>, <a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2025-49706\" target=\"_blank\" rel=\"noopener\">CVE-2025-49706<\/a>, <a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2025-53770\" target=\"_blank\" rel=\"noopener\">CVE-2025-53770<\/a> y <a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2025-53771\" target=\"_blank\" rel=\"noopener\">CVE-2025-53771<\/a>.<\/p>\n<p><a href=\"https:\/\/msrc.microsoft.com\/blog\/2025\/07\/customer-guidance-for-sharepoint-vulnerability-cve-2025-53770\/\" target=\"_blank\" rel=\"noopener\">Gu\u00edas adicionales para CVE-2025-53770 y CVE-2025-53771<\/a>.<\/p>\n<p>Los clientes de Palo Alto Networks est\u00e1n mejor protegidos frente a estas vulnerabilidades de las siguientes maneras:<\/p>\n<ul>\n<li><a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/p\/XPANSE\" target=\"_blank\" rel=\"noopener\">Cortex Xpanse<\/a> tiene la capacidad de identificar dispositivos SharePoint expuestos en la Internet p\u00fablica y escalar estos hallazgos a los defensores.<\/li>\n<li>Los agentes de <a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/p\/XDR\" target=\"_blank\" rel=\"noopener\">Cortex XDR<\/a>, versi\u00f3n\u00a08.7, con la versi\u00f3n de contenido 1870-19884 (o 1880-19902) bloquear\u00e1n las actividades de explotaci\u00f3n conocidas relacionadas con la cadena de explotaci\u00f3n de CVE-2025-49704 y CVE-2025-49706 e informar\u00e1n de las actividades de explotaci\u00f3n conocidas relacionadas con la cadena de CVE-2025-53770 y CVE-2025-53771.<\/li>\n<li><a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/p\/XSOAR\" target=\"_blank\" rel=\"noopener\">Cortex<\/a> ha publicado un libro de jugadas como parte del paquete <a href=\"https:\/\/xsoar.pan.dev\/docs\/reference\/playbooks\/cve-2025-49704-and-cve-2025-49706-and-cve-2025-53770-and-cve-2025-53771---microsoft-share-point-tool-shell-vulnerability-chain\" target=\"_blank\" rel=\"noopener\">Cortex Response and Remediation Pack<\/a>.<\/li>\n<li>La versi\u00f3n 1.2 de <a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/r\/Cortex-CLOUD\/Cortex-Cloud-Posture-Management-Release-Notes\/July-2025\" target=\"_blank\" rel=\"noopener\">Cortex Cloud<\/a> puede encontrar las vulnerabilidades y bloquear las actividades de explotaci\u00f3n conocidas relacionadas con la cadena de explotaci\u00f3n de CVE-2025-49704 y CVE-2025-49706 e informar de las actividades de explotaci\u00f3n conocidas relacionadas con la cadena de CVE-2025-53770 y CVE-2025-53771.<\/li>\n<li><a href=\"https:\/\/docs.paloaltonetworks.com\/pan-os\/10-1\/pan-os-new-features\/url-filtering-features\/advanced-url-filtering\" target=\"_blank\" rel=\"noopener\">Advanced URL Filtering<\/a> y <a href=\"https:\/\/docs.paloaltonetworks.com\/dns-security\" target=\"_blank\" rel=\"noopener\">Advanced DNS Security<\/a> identifican las direcciones IP conocidas asociadas a esta actividad como maliciosas.<\/li>\n<li><a href=\"https:\/\/docs.paloaltonetworks.com\/ngfw\" target=\"_blank\" rel=\"noopener\">Next-Generation Firewall<\/a> con la suscripci\u00f3n de seguridad <a href=\"https:\/\/docs.paloaltonetworks.com\/advanced-threat-prevention\/administration\" target=\"_blank\" rel=\"noopener\">Advanced Threat Prevention<\/a> puede ayudar a bloquear la explotaci\u00f3n de CVE-2025-49704, CVE-2025-49706 y CVE-2025-53771.<\/li>\n<li>El equipo de <a href=\"https:\/\/start.paloaltonetworks.com\/contact-unit42.html\" target=\"_blank\" rel=\"noopener\">respuesta ante incidentes de Unit\u00a042<\/a> tambi\u00e9n puede involucrarse para ayudar con una intrusi\u00f3n o para proporcionar una evaluaci\u00f3n proactiva.<\/li>\n<\/ul>\n<table style=\"width: 100.537%;\">\n<thead>\n<tr>\n<td style=\"width: 35%;\"><b>Vulnerabilidades debatidas<\/b><\/td>\n<td style=\"width: 215.633%;\"><span style=\"font-weight: 400;\"><a href=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/tag\/cve-2025-49704-es-la\/\" target=\"_blank\" rel=\"noopener\">CVE-2025-49704<\/a>, <a href=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/tag\/cve-2025-49706-es-la\/\" target=\"_blank\" rel=\"noopener\">CVE-2025-49706<\/a>, <a href=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/tag\/cve-2025-53770-es-la\/\" target=\"_blank\" rel=\"noopener\">CVE-2025-53770<\/a>, <a href=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/tag\/cve-2025-53771-es-la\/\" target=\"_blank\" rel=\"noopener\">CVE-2025-53771<\/a><\/span><\/td>\n<\/tr>\n<\/thead>\n<\/table>\n<h2><a id=\"post-148102-_heading=h.92go6qnlwmnc\"><\/a>Detalles de las vulnerabilidades<\/h2>\n<p>CVE-2025-49704 y CVE-2025-49706 son un conjunto de vulnerabilidades cr\u00edticas que afectan a Microsoft SharePoint, permitiendo a los actores de amenazas no autenticados acceder a funcionalidades que normalmente est\u00e1n restringidas. Cuando se encadenan, permiten a un atacante ejecutar comandos arbitrarios en instancias vulnerables de Microsoft SharePoint.<\/p>\n<p>Los ataques activos se dirigen a clientes en las instalaciones del servidor SharePoint y explotan una variante de CVE-2025-49706. A esta nueva variante se le ha asignado CVE-2025-53770. Microsoft tambi\u00e9n anunci\u00f3 una cuarta vulnerabilidad de SharePoint asignada CVE-2025-53771.<\/p>\n<p>Lo que hace que estas vulnerabilidades sean a\u00fan m\u00e1s preocupantes es la profunda integraci\u00f3n de SharePoint con la plataforma de Microsoft, incluidos sus servicios como Office, Teams, OneDrive y Outlook, que contienen informaci\u00f3n muy valiosa para los atacantes. Un compromiso en esta situaci\u00f3n no queda confinado, sino que abre la puerta a toda la red.<\/p>\n<h2><a id=\"post-148102-_heading=h.2wgnb62datij\"><\/a>Alcance actual del ataque a trav\u00e9s de CVE-2025-49706, CVE-2025-49704, CVE-2025-53770 y CVE-2025-53771.<\/h2>\n<p><b>Actualizaci\u00f3n del 31 de julio de 2025 \u2013 Explotaci\u00f3n de ToolShell para Ransomware<\/b><\/p>\n<p>Una investigaci\u00f3n sobre la explotaci\u00f3n de ToolShell revel\u00f3 el despliegue del ransomware 4L4MD4R, una variante del <a href=\"https:\/\/github.com\/mauri870\/ransomware\/tree\/master\" target=\"_blank\" rel=\"noopener\">ransomware de c\u00f3digo abierto Mauri870<\/a>. Un intento de explotaci\u00f3n fallido el 27 de julio de 2025, que involucr\u00f3 un comando de PowerShell codificado, llev\u00f3 al descubrimiento de un <i>loader<\/i> dise\u00f1ado para descargar y ejecutar el ransomware desde <span style=\"font-family: 'courier new', courier, monospace;\">hxxps:\/\/ice.theinnovationfactory[.]it\/static\/4l4md4r.exe<\/span> (<span style=\"font-family: 'courier new', courier, monospace;\">145.239.97[.]206<span style=\"font-family: georgia, palatino, serif;\">)<\/span><\/span>. El comando de PowerShell intent\u00f3 deshabilitar el monitoreo en tiempo real y omitir la validaci\u00f3n de certificados.<\/p>\n<p>El an\u00e1lisis del <i>payload<\/i> de 4L4MD4R revel\u00f3 que est\u00e1 empaquetado con UPX y escrito en GoLang. Al ejecutarse, la muestra descifra un <i>payload<\/i> cifrado con AES en memoria, asigna memoria para cargar el archivo PE descifrado y crea un nuevo hilo para ejecutarlo. El ransomware cifra los archivos y exige un rescate de 0.005 BTC, proporcionando un correo electr\u00f3nico de contacto (<span style=\"font-family: 'courier new', courier, monospace;\">m4_cruise@proton[.]me)<\/span> y una direcci\u00f3n de billetera de Bitcoin (<span style=\"font-family: 'courier new', courier, monospace;\">bc1qqxqe9vsvjmjqc566fgqsgnhlh87fckwegmtg6p<\/span>) para el pago.<\/p>\n<p>El ransomware genera dos archivos en el escritorio: <span style=\"font-family: 'courier new', courier, monospace;\">DECRYPTION_INSTRUCTIONS.html<\/span> (la nota de rescate) y <span style=\"font-family: 'courier new', courier, monospace;\">ENCRYPTED_LIST.html <\/span>(una lista de los archivos cifrados), tal como se observa en el c\u00f3digo fuente del ransomware Mauri870. Adicionalmente, la muestra ten\u00eda un servidor C2 configurado en <span style=\"font-family: 'courier new', courier, monospace;\">bpp.theinnovationfactory[.]it:445<\/span>\u00a0que env\u00eda el objeto JSON cifrado mediante una solicitud POST.<\/p>\n<p>Las Figuras 1a y 1b muestran la nota de rescate y las instrucciones de descifrado de los atacantes, respectivamente.<\/p>\n<figure id=\"attachment_148690\" aria-describedby=\"caption-attachment-148690\" style=\"width: 1555px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-148690 size-full lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/2025-07-31-TTI-post-image-01.png\" alt=\"En la pantalla de un ordenador aparece una nota de rescate con un texto en el que se exige el pago en criptomoneda para descifrar los archivos y se advierte de que no se contacte con las autoridades ni se manipulen los datos. La nota incluye instrucciones para el pago y amenaza con borrar los archivos si no se cumplen las exigencias.\" width=\"1555\" height=\"958\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/2025-07-31-TTI-post-image-01.png 1555w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/2025-07-31-TTI-post-image-01-714x440.png 714w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/2025-07-31-TTI-post-image-01-1136x700.png 1136w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/2025-07-31-TTI-post-image-01-768x473.png 768w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/2025-07-31-TTI-post-image-01-1536x946.png 1536w\" sizes=\"(max-width: 1555px) 100vw, 1555px\" \/><figcaption id=\"caption-attachment-148690\" class=\"wp-caption-text\">Figura 1a. Nota de rescate de 4L4MD4R.<\/figcaption><\/figure>\n<figure id=\"attachment_148701\" aria-describedby=\"caption-attachment-148701\" style=\"width: 944px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-148701 size-full lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/image-with-victim-ID-redacted.png\" alt=\"Captura de pantalla de un ordenador que muestra una nota de ransomware llamada \u00abDECRYPTION_INSTRUCTIONS.txt\u00bb en un editor de texto. La nota exige un pago en Bitcoin para descifrar el archivo y proporciona informaci\u00f3n de contacto. Parte de la informaci\u00f3n est\u00e1 suprimida por motivos de privacidad.\" width=\"944\" height=\"729\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/image-with-victim-ID-redacted.png 944w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/image-with-victim-ID-redacted-570x440.png 570w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/image-with-victim-ID-redacted-906x700.png 906w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/image-with-victim-ID-redacted-768x593.png 768w\" sizes=\"(max-width: 944px) 100vw, 944px\" \/><figcaption id=\"caption-attachment-148701\" class=\"wp-caption-text\">Figura 1b. Instrucciones de descifrado.<\/figcaption><\/figure>\n<p><b>Actualizaci\u00f3n del 29 de julio de 2025<\/b><\/p>\n<p><span style=\"font-weight: 400;\">Unit\u00a0 42 recopil\u00f3 y analiz\u00f3 la actividad relacionada con los intentos de explotaci\u00f3n de la vulnerabilidad CVE-2025-53770 a partir de fuentes de telemetr\u00eda internas. Observamos por primera vez la explotaci\u00f3n de CVE-2025-53770 el 17 de julio de 2025, tan temprano como a las 08:40 UTC, hasta el 22 de julio de 2025, desde direcciones IP que rastreamos en un cl\u00faster denominado <\/span>CL-CRI-1040<span style=\"font-weight: 400;\">. A partir del 17 de julio de 2025 a las 06:58 UTC, observamos que direcciones IP asociadas con CL-CRI-1040 estaban probando servidores de SharePoint para verificar si eran vulnerables antes de los intentos de explotaci\u00f3n. Adem\u00e1s, notamos un patr\u00f3n en los intentos de explotaci\u00f3n que sugiere que los actores est\u00e1n utilizando una lista est\u00e1tica de objetivos de servidores SharePoint.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Los actores asociados con esta actividad parecen haber ajustado sus t\u00e1cticas y t\u00e9cnicas en este corto per\u00edodo de tiempo, cambiando r\u00e1pidamente su infraestructura y <\/span><i><span style=\"font-weight: 400;\">payloads<\/span><\/i><span style=\"font-weight: 400;\"> en un intento por evadir la detecci\u00f3n. Estos actores pasaron de entregar m\u00f3dulos .NET como <\/span><i><span style=\"font-weight: 400;\">payloads<\/span><\/i><span style=\"font-weight: 400;\"> tras una explotaci\u00f3n exitosa a un <\/span><i><span style=\"font-weight: 400;\">payload<\/span><\/i><span style=\"font-weight: 400;\"> de tipo <\/span><i><span style=\"font-weight: 400;\">web shell<\/span><\/i><span style=\"font-weight: 400;\"> con una funcionalidad similar. Despu\u00e9s de que los <\/span><i><span style=\"font-weight: 400;\">web shells<\/span><\/i><span style=\"font-weight: 400;\"> fueran discutidos en blogs p\u00fablicos, observamos que los actores volvieron a entregar los m\u00f3dulos .NET vistos anteriormente como <\/span><i><span style=\"font-weight: 400;\">payloads<\/span><\/i><span style=\"font-weight: 400;\">.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Desde una perspectiva de atribuci\u00f3n, una de las direcciones IP que explotaban CVE-2025-53770 como parte de CL-CRI-1040 se superpone con el cl\u00faster <\/span>Storm-2603<span style=\"font-weight: 400;\"><a href=\"https:\/\/www.microsoft.com\/en-us\/security\/blog\/2025\/07\/22\/disrupting-active-exploitation-of-on-premises-sharepoint-vulnerabilities\/\" target=\"_blank\" rel=\"noopener\"> discutido por Microsoft<\/a>. Actualmente estamos investigando este cl\u00faster para obtener una mejor comprensi\u00f3n de los actores involucrados.<\/span><\/p>\n<h3><b>Reconocimiento Inicial<\/b><\/h3>\n<p><span style=\"font-weight: 400;\">Antes de intentar explotar CVE-2025-53770, los actores de amenazas parecieron realizar una fase inicial de reconocimiento para asegurarse de que los servidores remotos ejecutaban una versi\u00f3n vulnerable de SharePoint. A partir del 17 de julio de 2025 a las 06:58 UTC, observamos solicitudes HTTP GET para <\/span><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">\/_layouts\/15\/ToolPane.aspx?DisplayMode=Edit&amp;a=\/ToolPane.aspx<\/span><span style=\"font-weight: 400;\"> con un <\/span><span style=\"font-weight: 400;\">User-Agent<\/span><span style=\"font-weight: 400;\"> de <\/span><span style=\"font-weight: 400;\"><span style=\"font-family: 'courier new', courier, monospace;\">python-requests\/2.32.<\/span>3<\/span><span style=\"font-weight: 400;\"> y sin campo <\/span><span style=\"font-weight: 400;\">referrer<\/span><span style=\"font-weight: 400;\"> desde las siguientes direcciones IP:<\/span><\/p>\n<ul>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">45.86.231[.]241<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">51.161.152[.]26<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">91.236.230[.]76<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">92.222.167[.]88<\/span><\/li>\n<\/ul>\n<p><span style=\"font-weight: 400;\">Seg\u00fan la telemetr\u00eda de Cortex Xpanse, todas estas direcciones IP son nodos de salida asociados con la Red de <a href=\"https:\/\/safing.io\/spn\/\" target=\"_blank\" rel=\"noopener\">Privacidad de Safing<\/a> (SPN, por sus siglas en ingl\u00e9s). Creemos que el actor intent\u00f3 ocultar su ubicaci\u00f3n utilizando SPN para enviar estas solicitudes HTTP GET desde un <\/span><i><span style=\"font-weight: 400;\">script<\/span><\/i><span style=\"font-weight: 400;\"> de prueba para verificar su lista de objetivos antes de los intentos de explotaci\u00f3n. Creemos que el actor estaba usando una lista de objetivos debido al mismo orden secuencial en las solicitudes HTTP GET y las solicitudes HTTP POST de los intentos de explotaci\u00f3n desde las siguientes direcciones IP:<\/span><\/p>\n<ul>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">96.9.125[.]147<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">107.191.58[.]76<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">104.238.159[.]149<\/span><\/li>\n<\/ul>\n<h3><b>Payloads<\/b><b> Entregados<\/b><\/h3>\n<p><span style=\"font-weight: 400;\">Como se mencion\u00f3 anteriormente, las siguientes direcciones IP est\u00e1n asociadas con CL-CRI-1040, aunque entregan diferentes <\/span><i><span style=\"font-weight: 400;\">payloads<\/span><\/i><span style=\"font-weight: 400;\"> tras la explotaci\u00f3n exitosa de CVE-2025-53770:<\/span><\/p>\n<ul>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">96.9.125[.]147<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">107.191.58[.]76<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">104.238.159[.]149<\/span><\/li>\n<\/ul>\n<p><span style=\"font-weight: 400;\">La telemetr\u00eda confirm\u00f3 que <\/span><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">96.9.125[.]147<\/span><span style=\"font-weight: 400;\"> inici\u00f3 la explotaci\u00f3n de la vulnerabilidad de SharePoint a las 08:58 UTC del 17 de julio, entregando un m\u00f3dulo de ensamblado .NET personalizado llamado <\/span><span style=\"font-weight: 400;\">qlj22mpc<\/span><span style=\"font-weight: 400;\"> como <\/span><i><span style=\"font-weight: 400;\">payload<\/span><\/i><span style=\"font-weight: 400;\">. Al d\u00eda siguiente, el 18 de julio, la direcci\u00f3n IP entreg\u00f3 un nuevo <\/span><span style=\"font-weight: 400;\">payload<\/span><span style=\"font-weight: 400;\"> llamado <\/span><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">bjcloiyq<\/span><span style=\"font-weight: 400;\"><span style=\"font-family: 'courier new', courier, monospace;\">.<\/span> Ambos m\u00f3dulos .NET exfiltraban las <\/span><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">MachineKeys<\/span><span style=\"font-weight: 400;\"> criptogr\u00e1ficas del servidor SharePoint en una cadena de texto delimitada por una barra vertical (\u00ab<span style=\"font-family: 'courier new', courier, monospace;\">|<\/span>\u00bb) dentro de la respuesta HTTP, que el actor podr\u00eda usar para futuros accesos al servidor.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">El 18 y 19 de julio, las direcciones IP de CL-CRI-1040, <\/span><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">107.191.58[.]76<\/span><span style=\"font-weight: 400;\"> y <\/span><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">104.238.159[.]149<\/span><span style=\"font-weight: 400;\">, entregaron un <\/span><i><span style=\"font-weight: 400;\">payload<\/span><\/i><span style=\"font-weight: 400;\"> completamente nuevo tras la explotaci\u00f3n exitosa de CVE-2025-53770. En lugar de ejecutar un m\u00f3dulo .NET despu\u00e9s de explotar la vulnerabilidad, estas direcciones IP entregaron un <\/span><i><span style=\"font-weight: 400;\">payload<\/span><\/i><span style=\"font-weight: 400;\"> que ejecuta un comando de PowerShell codificado, discutido en las secciones Variaci\u00f3n 2 y Variaci\u00f3n 3, para guardar un <\/span><span style=\"font-weight: 400;\">web shell<\/span><span style=\"font-weight: 400;\"> en <\/span><span style=\"font-family: 'courier new', courier, monospace;\"><a href=\"https:\/\/www.virustotal.com\/gui\/file\/92bb4ddb98eeaf11fc15bb32e71d0a63256a0ed826a03ba293ce3a8bf057a514\" target=\"_blank\" rel=\"noopener\"><span style=\"font-weight: 400;\">spinstall0.aspx<\/span><\/a><span style=\"font-weight: 400;\">.<\/span><\/span><\/p>\n<p><span style=\"font-weight: 400;\">Este <\/span><i><span style=\"font-weight: 400;\">web shell<\/span><\/i><span style=\"font-weight: 400;\"> se entreg\u00f3 para exfiltrar las <\/span><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">MachineKeys<\/span><span style=\"font-weight: 400;\"> criptogr\u00e1ficas del servidor SharePoint en una cadena de texto delimitada por una barra vertical (\u00ab<span style=\"font-family: 'courier new', courier, monospace;\">|<\/span>\u00bb) al acceder a <\/span><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">spinstall0.aspx<\/span><span style=\"font-weight: 400;\">, que responde con los mismos campos de <\/span><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">MachineKeys<\/span><span style=\"font-weight: 400;\"> en el mismo orden que los m\u00f3dulos .NET mencionados anteriormente.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Los actores asociados con CL-CRI-1040 que explotan CVE-2025-53770 demuestran la capacidad de ajustar sus t\u00e1cticas y t\u00e9cnicas durante una operaci\u00f3n. Pasaron de usar m\u00f3dulos .NET como <\/span><i><span style=\"font-weight: 400;\">payloads<\/span><\/i><span style=\"font-weight: 400;\"> a un <\/span><i><span style=\"font-weight: 400;\">payload<\/span><\/i><span style=\"font-weight: 400;\"> de tipo <\/span><i><span style=\"font-weight: 400;\">web shell<\/span><\/i><span style=\"font-weight: 400;\"> con funcionalidad similar. Luego, volvieron a usar los m\u00f3dulos .NET como <\/span><i><span style=\"font-weight: 400;\">payloads<\/span><\/i><span style=\"font-weight: 400;\"> despu\u00e9s de que los <\/span><i><span style=\"font-weight: 400;\">web shells<\/span><\/i><span style=\"font-weight: 400;\"> fueran discutidos en blogs p\u00fablicos, como el blog de investigaci\u00f3n de <a href=\"https:\/\/research.eye.security\/sharepoint-under-siege\/\" target=\"_blank\" rel=\"noopener\">Eye Security sobre la explotaci\u00f3n de CVE-2025-53770<\/a>.<\/span><\/p>\n<h3><span style=\"font-weight: 400;\">Lista de Objetivos<\/span><\/h3>\n<p><span style=\"font-weight: 400;\">Notamos un patr\u00f3n que sugiere que los actores emplearon una lista de objetivos. Ordenamos su actividad por fecha y hora y tomamos una muestra de la actividad en cuatro objetivos distintos. Nos referiremos a los objetivos como <\/span><b>IPv4 1<\/b><span style=\"font-weight: 400;\">, <\/span><b>IPv4 2<\/b><span style=\"font-weight: 400;\">, <\/span><b>IPv4 3<\/b><span style=\"font-weight: 400;\"> y <\/span><b>Dominio 1<\/b><span style=\"font-weight: 400;\"> para proteger la identidad de las organizaciones afectadas.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Primero, observamos a <\/span><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">91.236.230[.]76<\/span><span style=\"font-weight: 400;\"> realizando solicitudes HTTP GET para <\/span><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">\/_layouts\/15\/ToolPane.aspx?DisplayMode=Edit&amp;a=\/ToolPane.aspx<\/span><span style=\"font-weight: 400;\"> en el siguiente orden:<\/span><\/p>\n<ul>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">IPv4 1 \u2013 17 de julio de 2025, 07:29 UTC<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">IPv4 2 \u2013 17 de julio de 2025, 07:32 UTC<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">IPv4 3 \u2013 17 de julio de 2025, 07:33 UTC<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Dominio 1 \u2013 17 de julio de 2025, 07:52 UTC<\/span><\/li>\n<\/ul>\n<p><span style=\"font-weight: 400;\">Luego, observamos que la direcci\u00f3n IP <\/span><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">96.9.125[.]147<\/span><span style=\"font-weight: 400;\"> emit\u00eda solicitudes HTTP POST para <\/span><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">\/_layouts\/15\/ToolPane.aspx?DisplayMode=Edit&amp;a=\/ToolPane.aspx<\/span><span style=\"font-weight: 400;\"> con un <\/span><i><span style=\"font-weight: 400;\">referer<\/span><\/i><span style=\"font-weight: 400;\"> de <\/span><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">\/_layouts\/SignOut.aspx<\/span><span style=\"font-weight: 400;\"> al intentar explotar la vulnerabilidad de SharePoint en los mismos alias de objetivo y en el mismo orden:<\/span><\/p>\n<ul>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">IPv4 1 - 17 de julio de 2025, 09:31 UTC<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">IPv4 2 - 17 de julio de 2025, 09:36 UTC<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">IPv4 3 - 17 de julio de 2025, 09:37 UTC<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Dominio 1 - 17 de julio de 2025, 10:17 UTC<\/span><\/li>\n<\/ul>\n<p><span style=\"font-weight: 400;\">Al d\u00eda siguiente, el 18 de julio de 2025, vimos a <\/span><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">107.191.58[.]76<\/span><span style=\"font-weight: 400;\"> emitir una solicitud HTTP POST a <\/span><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">\/_layouts\/15\/ToolPane.aspx?DisplayMode=Edit&amp;a=\/ToolPane.aspx<\/span><span style=\"font-weight: 400;\"> seguida de una solicitud HTTP GET a <\/span><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">\/_layouts\/15\/spinstall0.aspx<\/span><span style=\"font-weight: 400;\"> en el mismo orden:<\/span><\/p>\n<ul>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">IPv4 1 - 18 de julio de 2025, 14:01 UTC<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">IPv4 2 - 18 de julio de 2025, 14:05 UTC<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">IPv4 3 - 18 de julio de 2025, 14:07 UTC<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Dominio 1 - 18 de julio de 2025, 15:01 UTC<\/span><\/li>\n<\/ul>\n<p><span style=\"font-weight: 400;\">Finalmente, al d\u00eda siguiente (19 de julio de 2025) vimos la misma actividad de solicitudes HTTP POST y GET desde <\/span><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">104.238.159[.]149<\/span><span style=\"font-weight: 400;\"> que desde <\/span><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">107.191.58[.]76<\/span><span style=\"font-weight: 400;\">:<\/span><\/p>\n<ul>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">IPv4 1 - 19 de julio de 2025, 03:43 UTC<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">IPv4 2 - 19 de julio de 2025, 03:48 UTC<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">IPv4 3 - 19 de julio de 2025, 03:49 UTC<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Dominio 1 - 19 de julio de 2025, 04:41 UTC<\/span><\/li>\n<\/ul>\n<p><span style=\"font-weight: 400;\">El patr\u00f3n anterior muestra la misma secuencia de objetivos con una diferencia de tiempo similar entre los eventos individuales a lo largo del conjunto inicial de solicitudes de prueba, seguido de los tres conjuntos de solicitudes de explotaci\u00f3n.<\/span><\/p>\n<h3>Atribuci\u00f3n<\/h3>\n<p><span style=\"font-weight: 400;\">La direcci\u00f3n IP de CL-CRI-1040 <\/span><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">104.238.159[.]149<\/span><span style=\"font-weight: 400;\">, vista explotando CVE-2025-53770, tambi\u00e9n fue atribuida por Microsoft a su cl\u00faster llamado <\/span><b>Storm-2603<\/b><span style=\"font-weight: 400;\">. Microsoft tambi\u00e9n mencion\u00f3 que Storm-2603 entreg\u00f3 un <\/span><span style=\"font-weight: 400;\">web shell<\/span><span style=\"font-weight: 400;\"> llamado <\/span><span style=\"font-weight: 400;\">s<span style=\"font-family: 'courier new', courier, monospace;\">pinstall0.aspx<\/span><\/span><span style=\"font-weight: 400;\"> con un <\/span><i><span style=\"font-weight: 400;\">hash<\/span><\/i><span style=\"font-weight: 400;\"> SHA256 de <\/span><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">92bb4ddb98eeaf11fc15bb32e71d0a63256a0ed826a03ba293ce3a8bf057a514<\/span><span style=\"font-weight: 400;\">, lo cual es una superposici\u00f3n directa con nuestras observaciones de la actividad asociada a <\/span><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">104.238.159[.]149<\/span><span style=\"font-weight: 400;\">.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Evaluamos con <\/span><b>confianza moderada<\/b><span style=\"font-weight: 400;\"> que CL-CRI-1040 se superpone con Storm-2603 y continuaremos analizando la actividad asociada con CL-CRI-1040 para obtener una mejor comprensi\u00f3n de este cl\u00faster.<\/span><\/p>\n<p>Unit\u00a042, y otras organizaciones como Microsoft, notaron una explotaci\u00f3n activa y generalizada de estas vulnerabilidades.<\/p>\n<p>\u200b\u200bNuestra telemetr\u00eda revela una clara evoluci\u00f3n en la campa\u00f1a de ataque de SharePoint ToolShell, que progresa a trav\u00e9s de dos fases distintas:<\/p>\n<ul>\n<li>Una fase pre-PoC<\/li>\n<li>Una fase post-PoC generalizada<\/li>\n<\/ul>\n<p>Bas\u00e1ndonos en la telemetr\u00eda de los endpoints, hemos creado una representaci\u00f3n del volumen de actividad que ilustra los patrones observados a lo largo del tiempo, mostrados en la Figura 2.<\/p>\n<figure id=\"attachment_148103\" aria-describedby=\"caption-attachment-148103\" style=\"width: 1475px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-148103 size-full lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/word-image-445798-148102-1.png\" alt=\"Gr\u00e1fico de barras titulado \u00abVolumen de actividad a lo largo del tiempo\u00bb que muestra las fluctuaciones del volumen de actividad a lo largo de varias fechas. El eje Y muestra el volumen de actividad y el eje X muestra el intervalo de fechas, que va del 17 de julio de 2025 al 24 de julio de 2025.\" width=\"1475\" height=\"783\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/word-image-445798-148102-1.png 1475w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/word-image-445798-148102-1-786x417.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/word-image-445798-148102-1-1319x700.png 1319w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/word-image-445798-148102-1-768x408.png 768w\" sizes=\"(max-width: 1475px) 100vw, 1475px\" \/><figcaption id=\"caption-attachment-148103\" class=\"wp-caption-text\">Figura 2. Volumen de actividad a lo largo del tiempo basado en la telemetr\u00eda de punto final.<\/figcaption><\/figure>\n<h3>Calendario de actividades<\/h3>\n<ul>\n<li>17\u00a0de mayo de 2025: seg\u00fan informa el portal de noticias <a href=\"https:\/\/cybersecuritynews.com\/pwn2own-0-day-vulnerabilities\/\" target=\"_blank\" rel=\"noopener\">Cyber Security News<\/a>, en Pwn2Own Berl\u00edn, Dinh Ho Anh Khoa (@_l0gg), de Viettel Cyber Security, encaden\u00f3 dos vulnerabilidades en SharePoint para obtener acceso no autorizado. Estos se convertir\u00edan en CVE-2025-49704 y CVE-2025-49706. M\u00e1s adelante, @l0gg nombr\u00f3 esta cadena de ataque como \u201cToolShell\u201d.<\/li>\n<li>8\u00a0de julio de 2025 Microsoft public\u00f3 CVE-2025-49704 y CVE-2025-49706. En el momento de la publicaci\u00f3n, Microsoft indic\u00f3 que a\u00fan no se hab\u00eda visto la explotaci\u00f3n.<\/li>\n<li>14\u00a0de julio de 2025: menos de una semana despu\u00e9s de que se publicaran los registros de CVE, el equipo de seguridad ofensiva de <a href=\"https:\/\/infosec.exchange\/@codewhitesec\/114851715379861407\" target=\"_blank\" rel=\"noopener\">Code White GmbH demostr\u00f3<\/a> que pod\u00eda reproducir una cadena de exploits no autenticada asociada con estas vulnerabilidades en SharePoint.<\/li>\n<li>19\u00a0de julio de 2025: Microsoft public\u00f3 informaci\u00f3n sobre CVE-2025-53770 y CVE-2025-53771. La explotaci\u00f3n ya se hab\u00eda visto en el momento de la publicaci\u00f3n y Microsoft se\u00f1al\u00f3 que CVE-2025-53770 era una variante de CVE-2025-49706.<\/li>\n<li>Desde el 21\u00a0de julio de 2025, se publicaron varias pruebas de concepto en GitHub.<\/li>\n<\/ul>\n<p>El equipo de b\u00fasqueda de amenazas gestionadas de Unit\u00a042 identific\u00f3 tres\u00a0variaciones diferentes de actividad de explotaci\u00f3n, desde el 17\u00a0de julio.<\/p>\n<h3><a id=\"post-148102-_heading=h.4ixtarbs7d9v\"><\/a>Variaci\u00f3n\u00a01<\/h3>\n<p>En esta variaci\u00f3n, observamos la ejecuci\u00f3n de un shell de comandos que invoca un comando PowerShell. Intent\u00f3 iterar a trav\u00e9s de archivos web.config en el endpoint y almacenar el contenido de esos archivos en un archivo llamado debug_dev.js.<\/p>\n<p>En la Figura 3, se muestran los comandos observados.<\/p>\n<figure id=\"attachment_148114\" aria-describedby=\"caption-attachment-148114\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-148114 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/word-image-448204-148102-2.png\" alt=\"Captura de pantalla que muestra el c\u00f3digo en un editor de texto, con rutas y extensiones.\" width=\"1000\" height=\"407\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/word-image-448204-148102-2.png 1464w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/word-image-448204-148102-2-786x320.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/word-image-448204-148102-2-768x313.png 768w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-148114\" class=\"wp-caption-text\">Figura 3. Comandos vistos en la explotaci\u00f3n activa de la vulnerabilidad de SharePoint.<\/figcaption><\/figure>\n<p>Los comandos representados en la Figura 3 realizan las siguientes acciones:<\/p>\n<ul>\n<li>Establecer el directorio de origen para iterar sobre los archivos <span style=\"font-family: 'courier new', courier, monospace;\">web.config.<\/span><\/li>\n<li>Crear un archivo vac\u00edo llamado <span style=\"font-family: 'courier new', courier, monospace;\">debug_dev.js<\/span>.<\/li>\n<li>Iterar sobre el directorio de origen para los archivos <span style=\"font-family: 'courier new', courier, monospace;\">web.config.<\/span><\/li>\n<li>Si el archivo web.config existe, agregar los datos de <span style=\"font-family: 'courier new', courier, monospace;\">web.config<\/span> a <span style=\"font-family: 'courier new', courier, monospace;\">debug_dev.js.<\/span><\/li>\n<\/ul>\n<h3><a id=\"post-148102-_heading=h.n2r6htsb2c8a\"><\/a>Variaci\u00f3n\u00a02:<\/h3>\n<p>En otra variaci\u00f3n, observamos que el proceso de trabajo de IIS (<span style=\"font-family: 'courier new', courier, monospace;\">w3wp.exe<\/span>) invocaba un int\u00e9rprete de comandos para ejecutar un comando PowerShell codificado en Base64 que se muestra a continuaci\u00f3n en la Figura 4.<\/p>\n<figure id=\"attachment_148125\" aria-describedby=\"caption-attachment-148125\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-148125 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/word-image-450928-148102-3.png\" alt=\"Captura de pantalla de un c\u00f3digo inform\u00e1tico, con l\u00edneas de cadenas Base64 codificadas y descodificadas con rutas de archivos y comandos del sistema.\" width=\"1000\" height=\"568\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/word-image-450928-148102-3.png 1480w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/word-image-450928-148102-3-775x440.png 775w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/word-image-450928-148102-3-1233x700.png 1233w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/word-image-450928-148102-3-768x436.png 768w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-148125\" class=\"wp-caption-text\">Figura 4. Comando PowerShell codificado en Base64 observado en esta variaci\u00f3n.<\/figcaption><\/figure>\n<p>El comando se\u00f1alado en la Figura 4 crea un archivo en <span style=\"font-family: 'courier new', courier, monospace;\">C:\\PROGRA~1\\COMMON~1\\MICROS~1\\WEBSER~1\\16\\TEMPLATE\\LAYOUTS\\spinstall0.aspx<\/span> y despu\u00e9s decodifica el contenido de la cadena Base64 contenida en la variable, <span style=\"font-family: 'courier new', courier, monospace;\">$base64string<\/span> al archivo. El archivo <span style=\"font-family: 'courier new', courier, monospace;\">spinstall0.aspx<\/span> es un int\u00e9rprete de comandos web que puede ejecutar varias funciones para recuperar <span style=\"font-family: 'courier new', courier, monospace;\">ValidationKeys, DecryptionKeys<\/span> y el <span style=\"font-family: 'courier new', courier, monospace;\">CompatibilityMode<\/span> del servidor, necesarios para falsificar claves de cifrado ViewState.<\/p>\n<p>En la Figura 5 se muestra el contenido del archivo <span style=\"font-family: 'courier new', courier, monospace;\">spinstall0.aspx<\/span> creado por el comando de la Figura 4.<\/p>\n<figure id=\"attachment_148136\" aria-describedby=\"caption-attachment-148136\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-148136 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/word-image-454360-148102-4.png\" alt=\"Captura de pantalla mostrando c\u00f3digo, con un script que hace referencia a espacios de nombres.\" width=\"1000\" height=\"527\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/word-image-454360-148102-4.png 1492w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/word-image-454360-148102-4-786x414.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/word-image-454360-148102-4-1329x700.png 1329w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/word-image-454360-148102-4-768x405.png 768w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-148136\" class=\"wp-caption-text\">Figura 5. Contenido de <span style=\"font-family: 'courier new', courier, monospace;\">spinstall0.aspx.<\/span><\/figcaption><\/figure>\n<h3><a id=\"post-148102-_heading=h.6i9s4zs6h9sh\"><\/a>Variaci\u00f3n\u00a03<\/h3>\n<p>Esta variaci\u00f3n es casi id\u00e9ntica a la Variaci\u00f3n\u00a02, pero con algunas peque\u00f1as diferencias:<\/p>\n<ul>\n<li>Escribir el archivo <span style=\"font-family: 'courier new', courier, monospace;\">spinstall0.aspx<\/span> en la siguiente ruta: <span style=\"font-family: 'courier new', courier, monospace;\">C:\\PROGRA~1\\COMMON~1\\MICROS~1\\WEBSER~1\\15\\TEMPLATE\\LAYOUTS\\spinstall0.aspx<\/span>\n<ul>\n<li>La diferencia es el directorio de 15 frente a 16<\/li>\n<\/ul>\n<\/li>\n<li>Cambiar el nombre de las variables a caracteres simples<\/li>\n<li>Llamar a la funci\u00f3n <em>sleep<\/em> al final<\/li>\n<\/ul>\n<p>En la Figura 6 se muestra un ejemplo de esta variaci\u00f3n.<\/p>\n<figure id=\"attachment_148147\" aria-describedby=\"caption-attachment-148147\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-148147 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/word-image-456602-148102-5.png\" alt=\"Captura de pantalla de un ordenador que muestra bloques de c\u00f3digo de programaci\u00f3n.\" width=\"1000\" height=\"592\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/word-image-456602-148102-5.png 1496w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/word-image-456602-148102-5-743x440.png 743w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/word-image-456602-148102-5-1182x700.png 1182w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/word-image-456602-148102-5-768x455.png 768w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-148147\" class=\"wp-caption-text\">Figura 6. Variaci\u00f3n 3 de la actividad de explotaci\u00f3n.<\/figcaption><\/figure>\n<h2><a id=\"post-148102-_heading=h.b9muv7n7kqe7\"><\/a>Gu\u00edas provisionales<\/h2>\n<p>Palo Alto Networks y Unit\u00a042 colaboran de cerca con el MSRC y recomiendan seguir los siguientes pasos cr\u00edticos:<\/p>\n<ul>\n<li><strong>Contener la amenaza<\/strong>: desconecte inmediatamente de Internet los servidores SharePoint en las instalaciones que sean vulnerables hasta que est\u00e9n totalmente protegidos y corregidos.<\/li>\n<li><strong>Colocar parches y fortalecer:<\/strong> aplique todos los parches de seguridad pertinentes de Microsoft en cuanto est\u00e9n disponibles. Lo m\u00e1s importante es que se rote todo el material criptogr\u00e1fico y se restablezcan las credenciales asociadas.<\/li>\n<li><strong>Contrate a profesionales de respuesta ante incidentes<\/strong>: una falsa sensaci\u00f3n de seguridad puede conducir a una exposici\u00f3n prolongada. Pedimos encarecidamente a las organizaciones afectadas que contraten a un equipo profesional de respuesta ante incidentes para que lleve a cabo una evaluaci\u00f3n exhaustiva del peligro, busque las puertas traseras establecidas y se asegure de que la amenaza se erradique por completo del entorno.<\/li>\n<\/ul>\n<p>Palo Alto Networks tambi\u00e9n recomienda seguir las gu\u00edas de Microsoft sobre parches o mitigaci\u00f3n:<\/p>\n<ul>\n<li><a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2025-49704\" target=\"_blank\" rel=\"noopener\">CVE-2025-49704<\/a><\/li>\n<li><a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2025-49706\" target=\"_blank\" rel=\"noopener\">CVE-2025-49706<\/a><\/li>\n<li><a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2025-53770\" target=\"_blank\" rel=\"noopener\">CVE-2025-53770<\/a><\/li>\n<li><a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2025-53771\" target=\"_blank\" rel=\"noopener\">CVE-2025-53771<\/a><\/li>\n<\/ul>\n<p>Consulte las gu\u00edas adicionales de Microsoft para <a href=\"https:\/\/msrc.microsoft.com\/blog\/2025\/07\/customer-guidance-for-sharepoint-vulnerability-cve-2025-53770\/\" target=\"_blank\" rel=\"noopener\">CVE-2025-53770 y CVE-2025-53771<\/a>. Microsoft afirma que la actualizaci\u00f3n para CVE-2025-53770 incluye protecciones m\u00e1s s\u00f3lidas que la actualizaci\u00f3n para CVE-2025-49704. La actualizaci\u00f3n para CVE-2025-53771 incluye protecciones m\u00e1s s\u00f3lidas que la actualizaci\u00f3n para CVE-2025-49706.<\/p>\n<p><strong>Actualizaci\u00f3n del 25 de julio de 2025<\/strong>: <a href=\"https:\/\/www.microsoft.com\/en-us\/security\/blog\/2025\/07\/22\/disrupting-active-exploitation-of-on-premises-sharepoint-vulnerabilities\/\" target=\"_blank\" rel=\"noopener\">Microsoft recomienda lo siguiente<\/a> para la rotaci\u00f3n de claves de m\u00e1quina.<\/p>\n<ul>\n<li>Aplique la actualizaci\u00f3n de seguridad de Microsoft<\/li>\n<li>Vuelva a rotar las claves de m\u00e1quina ASP.NET<\/li>\n<li>Reinicie el servidor web IIS.<\/li>\n<\/ul>\n<h2><a id=\"post-148102-_heading=h.75j6a4qezu8p\"><\/a>Consultas de b\u00fasqueda de amenazas gestionadas de Unit\u00a042<\/h2>\n<p>El equipo de b\u00fasqueda de amenazas gestionadas de Unit\u00a042 sigue rastreando cualquier intento de explotar estas vulnerabilidades en nuestros clientes, por medio de Cortex XDR y las consultas XQL que se indican a continuaci\u00f3n. Los clientes de Cortex XDR tambi\u00e9n pueden utilizar estas consultas XQL para buscar indicios de explotaci\u00f3n.<\/p>\n<pre class=\"lang:default decode:true\">\/\/ Note: This query will only work on agents 8.7 or higher\r\n\/\/ Description: This query leverages DotNet telemetry to identify references to ToolPane.exe, and extracts fields to provide additional context.\r\ndataset = xdr_data\r\n| fields _time, agent_hostname, actor_effective_username, actor_process_image_name, actor_process_image_path, actor_process_command_line, dynamic_event_string_map, event_thread_context, event_type\r\n| filter event_type = ENUM.DOT_NET and actor_process_image_name = \"w3wp.exe\" and event_thread_context contains \"ToolPane.aspx\"\r\n\r\n\/\/ Extract the IIS application pool name from command line\r\n| alter IIS_appName = arrayindex(regextract(actor_process_command_line, \"\\-ap\\s+\\\"([^\\\"]+)\\\"\"), 0)\r\n\r\n\/\/ Extract fields from the dynamic_string_string_map:\r\n\/\/ EventSrcIP - Logged IP address by the IIS server\r\n\/\/ RequestURI - The requested URL by the threat actor\r\n\/\/ Payload - time he decoded .NET payload from exploitation\r\n\/\/ Headers - HTTP request headers\r\n| alter EventSrcIP = trim(json_extract(dynamic_event_string_map, \"$.27\"), \"\\\"\"),\r\n        RequestURI = trim(json_extract(dynamic_event_string_map, \"$.26\"), \"\\\"\"),\r\n        Payload = trim(json_extract(dynamic_event_string_map, \"$.30\"), \"\\\"\"),\r\n        Headers = trim(json_extract(dynamic_event_string_map, \"$.32\"), \"\\\"\")\r\n\r\n\/\/ Extract the X-Forwarded-For headers from the Headers field in an attempt to identify the source of exploitation\r\n| alter x_forwarded_for_header = regextract(lowercase(Headers), \"\\|(?:client-ip|x-forwarded-for)\\:((?:25[0-5]|2[0-4][0-9]|1[0-9][0-9]|[1-9][0-9]|[1-9])(?:\\.(?:25[0-5]|2[0-4][0-9]|1[0-9][0-9]|[1-9][0-9]|[0-9])){3})\\|\")\r\n\r\n| fields _time, agent_hostname, actor_effective_username, actor_process_image_path, actor_process_command_line, IIS_appName, dynamic_event_string_map, event_thread_context, EventSrcIP, x_forwarded_for_header, RequestURI, Payload, Headers\r\n<\/pre>\n<pre class=\"lang:default decode:true\">\/\/ Description: This query identifies specific files being written to the observed file paths during exploitation. This query may identify false-positive, legitimate files.\r\ndataset = xdr_data \r\n| fields _time, agent_hostname, causality_actor_process_image_name, causality_actor_process_command_line, actor_process_image_name, actor_process_command_line, action_file_name, action_file_path, action_file_extension, action_file_sha256, event_type, event_sub_type \r\n| filter event_type = ENUM.FILE and event_sub_type in (ENUM.FILE_WRITE, ENUM.FILE_CREATE_NEW) and lowercase(action_file_path) ~= \"web server extensions\\\\1[5-6]\\\\template\\\\layouts\" and lowercase(action_file_extension) in (\"asp\", \"aspx\", \"js\", \"txt\", \"css\")\r\n| filter lowercase(actor_process_image_name) in (\"powershell.exe\", \"cmd.exe\", \"w3wp.exe\")\r\n| comp values(action_file_name) as action_file_name, values(action_file_path) as action_file_path, values(actor_process_command_line) as actor_process_command_line by agent_hostname, actor_process_image_name addrawdata = true\r\n<\/pre>\n<pre class=\"lang:default decode:true\">\/\/ Description: This query identifies the IIS Process Worker, w3wp invoking a command shell which executes a base64 encodedPowerShell command. This is not specific to the CVE, and may catch potential other post-exploitation activity.\r\ndataset = xdr_data \r\n| fields _time, agent_hostname, causality_actor_process_image_name, actor_process_image_name, actor_process_command_line, action_process_image_name, action_process_image_command_line , event_type, event_sub_type \r\n| filter event_type = ENUM.PROCESS and event_sub_type = ENUM.PROCESS_START and lowercase(causality_actor_process_image_name) = \"w3wp.exe\" and lowercase(actor_process_image_name) = \"cmd.exe\" and lowercase(action_process_image_name) = \"powershell.exe\" and action_process_image_command_line  ~= \"(?:[A-Za-z0-9+\\\/]{4})*(?:[A-Za-z0-9+\\\/]{4}|[A-Za-z0-9+\\\/]{3}=|[A-Za-z0-9+\\\/]{2}={2})\"\r\n<\/pre>\n<h2><a id=\"post-148102-_heading=h.uutl0ddpnpab\"><\/a>Conclusi\u00f3n<\/h2>\n<p>Seg\u00fan las observaciones sobre la explotaci\u00f3n activa y la facilidad y eficacia de este exploit, Palo Alto Networks recomienda encarecidamente seguir las gu\u00edas de Microsoft para proteger su organizaci\u00f3n. Palo Alto Networks y Unit\u00a042 seguir\u00e1n supervisando la situaci\u00f3n para obtener informaci\u00f3n actualizada.<\/p>\n<p>Palo Alto Networks ha compartido nuestros resultados con nuestros compa\u00f1eros de Cyber Threat Alliance (CTA). Los miembros de CTA utilizan esta inteligencia para implementar r\u00e1pidamente medidas de protecci\u00f3n para sus clientes y desarticular sistem\u00e1ticamente a los ciberdelincuentes. Obtenga m\u00e1s informaci\u00f3n sobre <a href=\"https:\/\/www.cyberthreatalliance.org\/\" target=\"_blank\" rel=\"noopener\">Cyber Threat Alliance<\/a>.<\/p>\n<p>Los clientes de Palo Alto Networks est\u00e1n mejor protegidos gracias a nuestros productos, como se indica a continuaci\u00f3n. Actualizaremos este resumen de amenazas a medida que dispongamos de m\u00e1s informaci\u00f3n pertinente.<\/p>\n<h2><a id=\"post-148102-_heading=h.c6j1fdntnrrm\"><\/a>Protecciones de producto de Palo Alto Networks para la explotaci\u00f3n activa de vulnerabilidades de Microsoft SharePoint<\/h2>\n<p>Los clientes de Palo Alto Networks pueden aprovechar varias protecciones y actualizaciones de productos para identificar y defenderse contra esta amenaza.<\/p>\n<p>Si cree que podr\u00eda haber resultado vulnerado o tiene un problema urgente, p\u00f3ngase en contacto con el <a href=\"https:\/\/start.paloaltonetworks.com\/contact-unit42.html\" target=\"_blank\" rel=\"noopener\">equipo de respuesta ante incidentes de Unit\u00a042<\/a> o llame al:<\/p>\n<ul>\n<li>Norteam\u00e9rica: llamada gratuita: +1\u00a0(866)\u00a0486-4842 (866.4.UNIT42)<\/li>\n<li>Reino Unido: +44.20.3743.3660<\/li>\n<li>Europa y Oriente Medio: +31.20.299.3130<\/li>\n<li>Asia: +65.6983.8730<\/li>\n<li>Jap\u00f3n: +81.50.1790.0200<\/li>\n<li>Australia: +61.2.4062.7950<\/li>\n<li>India: 00080005045107<\/li>\n<\/ul>\n<h3><a id=\"post-148102-_heading=h.967rizdbdo8m\"><\/a><strong>Next-Generation Firewalls con el Advanced Threat Prevention<\/strong><\/h3>\n<p><a href=\"https:\/\/docs.paloaltonetworks.com\/ngfw\" target=\"_blank\" rel=\"noopener\">Next-Generation Firewall<\/a> con el <a href=\"https:\/\/docs.paloaltonetworks.com\/advanced-threat-prevention\/administration\" target=\"_blank\" rel=\"noopener\">Advanced Threat Prevention<\/a> puede ayudar a bloquear la explotaci\u00f3n de CVE-2025-49704, CVE-2025-49706 y CVE-2025-53771 mediante las siguientes firmas de prevenci\u00f3n de amenazas: <a href=\"https:\/\/threatvault.paloaltonetworks.com\/?query=96481\" target=\"_blank\" rel=\"noopener\">96481<\/a>, <a href=\"https:\/\/threatvault.paloaltonetworks.com\/?query=96436\" target=\"_blank\" rel=\"noopener\">96436<\/a> and <a href=\"https:\/\/threatvault.paloaltonetworks.com\/?query=96496\" target=\"_blank\" rel=\"noopener\">96496<\/a>.<\/p>\n<h3><a id=\"post-148102-_heading=h.x7exktfgqcei\"><\/a><strong>Cloud-Delivered Security Services para la Next-Generation Firewall<\/strong><\/h3>\n<p><a href=\"https:\/\/docs.paloaltonetworks.com\/pan-os\/10-1\/pan-os-new-features\/url-filtering-features\/advanced-url-filtering\" target=\"_blank\" rel=\"noopener\">Advanced URL Filtering<\/a> y <a href=\"https:\/\/docs.paloaltonetworks.com\/dns-security\" target=\"_blank\" rel=\"noopener\">Advanced DNS Security<\/a> identifican las direcciones IP conocidas asociadas a esta actividad como maliciosas.<\/p>\n<h3><a id=\"post-148102-_heading=h.2tp0qkm48vj5\"><\/a><strong>Cortex <\/strong><\/h3>\n<p>Cortex ha publicado un libro de jugadas como parte del paquete <a href=\"https:\/\/xsoar.pan.dev\/docs\/reference\/playbooks\/cve-2025-49704-and-cve-2025-49706-and-cve-2025-53770-and-cve-2025-53771---microsoft-share-point-tool-shell-vulnerability-chain\" target=\"_blank\" rel=\"noopener\">Cortex Response and Remediation Pack.<\/a><\/p>\n<p>Activado por una alerta \u00abToolShell\u00bb de SharePoint o un inicio manual, el libro de jugadas primero toma las huellas de cada host de SharePoint mediante una consulta XQL ligera. A continuaci\u00f3n, busca en paralelo<\/p>\n<ul>\n<li>C\u00e1scaras web reci\u00e9n escritas en el disco<\/li>\n<li>Registros de tr\u00e1fico para la explotaci\u00f3n CVE y el acceso a la c\u00e1scara web<\/li>\n<li>Telemetr\u00eda .NET para extraer IPs y cargas \u00fatiles del atacante<\/li>\n<li>IoCs que combinan indicadores de la Unidad 42 con datos extra\u00eddos localmente<\/li>\n<li>Comportamiento previo y posterior a la explotaci\u00f3n.<\/li>\n<\/ul>\n<p>Todos los indicadores confirmados se bloquean autom\u00e1ticamente.<\/p>\n<p>La ejecuci\u00f3n finaliza mostrando la rotaci\u00f3n de las claves de m\u00e1quina, los enlaces a los parches de julio de 2025 y una vista centralizada de los hallazgos de la caza de amenazas.<\/p>\n<h3><a id=\"post-148102-_heading=h.4b1ejldwsj3p\"><\/a><strong>Cortex Cloud <\/strong><\/h3>\n<p><a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/r\/Cortex-CLOUD\/Cortex-Cloud-Posture-Management-Release-Notes\/July-2025\" target=\"_blank\" rel=\"noopener\">Cortex Cloud<\/a> versi\u00f3n 1.2 puede encontrar las vulnerabilidades y bloquear las actividades de explotaci\u00f3n conocidas relacionadas con la cadena de explotaci\u00f3n de CVE-2025-49704 y CVE-2025-49706 e informar de las actividades de explotaci\u00f3n conocidas relacionadas con la cadena de CVE-2025-53770 y CVE-2025-53771.<\/p>\n<h3><a id=\"post-148102-_heading=h.wdng9a95esv2\"><\/a><strong>Cortex XDR y XSIAM<\/strong><\/h3>\n<p>Los agentes de <a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/p\/XDR\" target=\"_blank\" rel=\"noopener\">Cortex XDR<\/a>, versi\u00f3n\u00a08.7, con la versi\u00f3n de contenido 1870-19884 (o 1880-19902) bloquear\u00e1n las actividades de explotaci\u00f3n conocidas relacionadas con la cadena de explotaci\u00f3n de CVE-2025-49704 y CVE-2025-49706 e informar\u00e1n de las actividades de explotaci\u00f3n conocidas relacionadas con la cadena de CVE-2025-53770 y CVE-2025-53771.<\/p>\n<h3><a id=\"post-148102-_heading=h.i0aq1zivbo2r\"><\/a><strong>Cortex Xpanse<\/strong><\/h3>\n<p><a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/p\/XPANSE\" target=\"_blank\" rel=\"noopener\">Cortex Xpanse<\/a> tiene la capacidad de identificar dispositivos SharePoint expuestos en la Internet p\u00fablica y escalar estos hallazgos a los defensores. Los clientes pueden activar la alerta de SharePoint expuesta a Internet asegur\u00e1ndose de que la regla de superficie de ataque del servidor SharePoint est\u00e1 activada. Los hallazgos identificados pueden consultarse en el <a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/r\/Cortex-XPANSE\/2\/Cortex-Xpanse-Expander-User-Guide\/Threat-Response-Center\" target=\"_blank\" rel=\"noopener\">Centro de respuesta a amenazas<\/a> o en la vista de incidentes de Expander. Estos resultados tambi\u00e9n est\u00e1n disponibles para los clientes de Cortex XSIAM que hayan adquirido el m\u00f3dulo ASM.<\/p>\n<h2><a id=\"post-148102-_heading=h.vjdrbq19yxbc\"><\/a>Indicadores de vulneraci\u00f3n<\/h2>\n<p>En la Tabla\u00a02 se muestra una lista de indicadores asociados con la actividad de explotaci\u00f3n de SharePoint observada por Unit\u00a042 y su descripci\u00f3n.<\/p>\n<table>\n<tbody>\n<tr style=\"height: 24px;\">\n<td style=\"height: 24px; text-align: center;\"><b>Indicador<\/b><\/td>\n<td style=\"height: 24px; text-align: center;\"><b>Descripci\u00f3n<\/b><\/td>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"text-align: left; height: 25px;\"><span style=\"font-family: 'courier new', courier, monospace;\">107.191.58[.]76<\/span><\/td>\n<td style=\"height: 25px; text-align: left;\"><span style=\"font-weight: 400;\">Fuente de explotaci\u00f3n, entregado <span style=\"font-family: 'courier new', courier, monospace;\">pinstall0.aspx<\/span><\/span><\/td>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"text-align: left; height: 25px;\"><span style=\"font-family: 'courier new', courier, monospace;\">104.238.159[.]149<\/span><\/td>\n<td style=\"height: 25px; text-align: left;\"><span style=\"font-weight: 400;\">Fuente de explotaci\u00f3n, entregado <span style=\"font-family: 'courier new', courier, monospace;\">pinstall0.aspx<\/span><\/span><\/td>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"text-align: left; height: 25px;\"><span style=\"font-family: 'courier new', courier, monospace;\">96.9.125[.]147<\/span><\/td>\n<td style=\"height: 25px; text-align: left;\"><span style=\"font-weight: 400;\">Fuente de explotaci\u00f3n, m\u00f3dulos <span style=\"font-family: 'courier new', courier, monospace;\">qlj22mpc<\/span> y <span style=\"font-family: 'courier new', courier, monospace;\">bjcloiyq<\/span><\/span><\/td>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"text-align: left; height: 25px;\"><span style=\"font-family: 'courier new', courier, monospace;\">139.144.199[.]41<\/span><\/td>\n<td style=\"height: 25px; text-align: left;\"><span style=\"font-weight: 400;\">Fuente de explotaci\u00f3n<\/span><\/td>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"text-align: left; height: 25px;\"><span style=\"font-family: 'courier new', courier, monospace;\">89.46.223[.]88<\/span><\/td>\n<td style=\"height: 25px; text-align: left;\"><span style=\"font-weight: 400;\">Fuente de explotaci\u00f3n<\/span><\/td>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"text-align: left; height: 25px;\"><span style=\"font-family: 'courier new', courier, monospace;\">45.77.155[.]170<\/span><\/td>\n<td style=\"height: 25px; text-align: left;\"><span style=\"font-weight: 400;\">Fuente de explotaci\u00f3n<\/span><\/td>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"text-align: left; height: 25px;\"><span style=\"font-family: 'courier new', courier, monospace;\">154.223.19[.]106<\/span><\/td>\n<td style=\"height: 25px; text-align: left;\"><span style=\"font-weight: 400;\">Fuente de explotaci\u00f3n<\/span><\/td>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"text-align: left; height: 25px;\"><span style=\"font-family: 'courier new', courier, monospace;\">185.197.248[.]131<\/span><\/td>\n<td style=\"height: 25px; text-align: left;\"><span style=\"font-weight: 400;\">Fuente de explotaci\u00f3n<\/span><\/td>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"text-align: left; height: 25px;\"><span style=\"font-family: 'courier new', courier, monospace;\">149.40.50[.]15<\/span><\/td>\n<td style=\"height: 25px; text-align: left;\"><span style=\"font-weight: 400;\">Fuente de explotaci\u00f3n<\/span><\/td>\n<\/tr>\n<tr>\n<td style=\"text-align: left;\"><span style=\"font-family: 'courier new', courier, monospace;\"> 64.176.50[.]109<\/span><\/td>\n<td style=\"text-align: left;\"><span style=\"font-weight: 400;\">Fuente de explotaci\u00f3n<\/span><\/td>\n<\/tr>\n<tr>\n<td style=\"text-align: left;\"><span style=\"font-family: 'courier new', courier, monospace;\"> 149.28.124[.]70<\/span><\/td>\n<td style=\"text-align: left;\"><span style=\"font-weight: 400;\">Fuente de explotaci\u00f3n<\/span><\/td>\n<\/tr>\n<tr>\n<td style=\"text-align: left;\"><span style=\"font-family: 'courier new', courier, monospace;\">206.166.251[.]228<\/span><\/td>\n<td style=\"text-align: left;\"><span style=\"font-weight: 400;\">Fuente de explotaci\u00f3n<\/span><\/td>\n<\/tr>\n<tr>\n<td style=\"text-align: left;\"><span style=\"font-family: 'courier new', courier, monospace;\">95.179.158[.]42<\/span><\/td>\n<td style=\"text-align: left;\"><span style=\"font-weight: 400;\">Fuente de explotaci\u00f3n<\/span><\/td>\n<\/tr>\n<tr>\n<td style=\"text-align: left;\"><span style=\"font-family: 'courier new', courier, monospace;\">86.48.9[.]38<\/span><\/td>\n<td style=\"text-align: left;\"><span style=\"font-weight: 400;\">Fuente de explotaci\u00f3n<\/span><\/td>\n<\/tr>\n<tr>\n<td style=\"text-align: left;\"><span style=\"font-family: 'courier new', courier, monospace;\">128.199.240[.]182<\/span><\/td>\n<td style=\"text-align: left;\"><span style=\"font-weight: 400;\">Fuente de explotaci\u00f3n<\/span><\/td>\n<\/tr>\n<tr>\n<td style=\"text-align: left;\"><span style=\"font-family: 'courier new', courier, monospace;\">212.125.27[.]102<\/span><\/td>\n<td style=\"text-align: left;\"><span style=\"font-weight: 400;\">Fuente de explotaci\u00f3n<\/span><\/td>\n<\/tr>\n<tr>\n<td style=\"text-align: left;\"><span style=\"font-family: 'courier new', courier, monospace;\">91.132.95[.]60<\/span><\/td>\n<td style=\"text-align: left;\"><span style=\"font-weight: 400;\">Fuente de explotaci\u00f3n<\/span><\/td>\n<\/tr>\n<tr style=\"height: 48px;\">\n<td style=\"text-align: left; height: 48px;\"><span style=\"font-family: 'courier new', courier, monospace;\">C:\\PROGRA~1\\COMMON~1\\MICROS~1\\WEBSER~1\\16\\TEMPLATE\\LAYOUTS\\spinstall0.aspx<\/span><\/td>\n<td style=\"height: 48px; text-align: left;\"><span style=\"font-weight: 400;\">Archivo creado despu\u00e9s de ejecutar el comando codificado<\/span><\/td>\n<\/tr>\n<tr style=\"height: 48px;\">\n<td style=\"text-align: left; height: 48px;\"><span style=\"font-family: 'courier new', courier, monospace;\">C:\\PROGRA~1\\COMMON~1\\MICROS~1\\WEBSER~1\\15\\TEMPLATE\\LAYOUTS\\spinstall0.aspx<\/span><\/td>\n<td style=\"height: 48px; text-align: left;\"><span style=\"font-weight: 400;\">Archivo creado despu\u00e9s de ejecutar el comando codificado<\/span><\/td>\n<\/tr>\n<tr style=\"height: 50px;\">\n<td style=\"text-align: left; height: 50px;\"><span style=\"font-family: 'courier new', courier, monospace;\">C:\\Program Files\\Common Files\\microsoft shared\\Web Server Extensions\\16\\TEMPLATE\\LAYOUTS\\debug_dev.js<\/span><\/td>\n<td style=\"height: 50px; text-align: left;\"><span style=\"font-weight: 400;\">Archivo creado despu\u00e9s de ejecutar el comando PowerShell<\/span><\/td>\n<\/tr>\n<tr style=\"height: 48px;\">\n<td style=\"text-align: left; height: 48px;\"><span style=\"font-family: 'courier new', courier, monospace;\">4A02A72AEDC3356D8CB38F01F0E0B9F26DDC5CCB7C0F04A561337CF24AA84030<\/span><\/td>\n<td style=\"height: 48px; text-align: left;\"><span style=\"font-weight: 400;\">M\u00f3dulo .NET <span style=\"font-family: 'courier new', courier, monospace;\">qlj22mpc<\/span> - hash inicial observado<\/span><\/td>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"text-align: left; height: 25px;\"><span style=\"font-family: 'courier new', courier, monospace;\">B39C14BECB62AEB55DF7FD55C814AFBB0D659687D947D917512FE67973100B70<\/span><\/td>\n<td style=\"height: 25px; text-align: left;\"><span style=\"font-weight: 400;\">M\u00f3dulo .NET <span style=\"font-family: 'courier new', courier, monospace;\">bjcloiyq<\/span><\/span><\/td>\n<\/tr>\n<tr style=\"height: 48px;\">\n<td style=\"text-align: left; height: 48px;\"><span style=\"font-family: 'courier new', courier, monospace;\">FA3A74A6C015C801F5341C02BE2CBDFB301C6ED60633D49FC0BC723617741AF7<\/span><\/td>\n<td style=\"height: 48px; text-align: left;\"><span style=\"font-weight: 400;\">M\u00f3dulo .NET: dirigido a ViewState<\/span><\/td>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"text-align: left; height: 25px;\"><span style=\"font-family: 'courier new', courier, monospace;\">390665BDD93A656F48C463BB6C11A4D45B7D5444BDD1D1F7A5879B0F6F9AAC7E<\/span><\/td>\n<td style=\"height: 25px; text-align: left;\"><span style=\"font-weight: 400;\">M\u00f3dulo .NET<\/span><\/td>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"text-align: left; height: 25px;\"><span style=\"font-family: 'courier new', courier, monospace;\">66AF332CE5F93CE21D2FE408DFFD49D4AE31E364D6802FFF97D95ED593FF3082<\/span><\/td>\n<td style=\"height: 25px; text-align: left;\"><span style=\"font-weight: 400;\">M\u00f3dulo .NET<\/span><\/td>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"text-align: left; height: 25px;\"><span style=\"font-family: 'courier new', courier, monospace;\">7BAF220EB89F2A216FCB2D0E9AA021B2A10324F0641CAF8B7A9088E4E45BEC95<\/span><\/td>\n<td style=\"height: 25px; text-align: left;\"><span style=\"font-weight: 400;\">M\u00f3dulo .NET<\/span><\/td>\n<\/tr>\n<tr>\n<td style=\"text-align: left;\"><span style=\"font-family: 'courier new', courier, monospace;\">92bb4ddb98eeaf11fc15bb32e71d0a63256a0ed826a03ba293ce3a8bf057a514<\/span><span style=\"font-family: 'courier new', courier, monospace;\"><br \/>\n<\/span><\/td>\n<td style=\"text-align: left;\"><span style=\"font-weight: 400;\"><span style=\"font-family: 'courier new', courier, monospace;\">spinstall0.aspx<\/span> webshell<\/span><\/td>\n<\/tr>\n<tr>\n<td style=\"text-align: left;\"><span style=\"font-family: 'courier new', courier, monospace;\">33067028e35982c7b9fdcfe25eb4029463542451fdff454007832cf953feaf1e<\/span><\/td>\n<td style=\"text-align: left;\"><span style=\"font-weight: 400; font-family: georgia, palatino, serif;\">Muestra del ransomware 4L4MD4R<\/span><\/td>\n<\/tr>\n<tr>\n<td style=\"text-align: left;\"><span style=\"font-family: 'courier new', courier, monospace;\"><span style=\"font-weight: 400;\">hxxps[:]\/\/ice[.]theinnovationfactory[.]it\/static\/4l4md4r.exe<\/span><\/span><\/td>\n<td style=\"text-align: left;\"><span style=\"font-weight: 400; font-family: georgia, palatino, serif;\">URL para la descarga y ejecuci\u00f3n del ransomware 4L4MD4R<\/span><\/td>\n<\/tr>\n<tr>\n<td style=\"text-align: left;\"><span style=\"font-family: 'courier new', courier, monospace;\"><span style=\"font-weight: 400;\">bpp.theinnovationfactory[.]it<\/span><\/span><\/td>\n<td style=\"text-align: left;\"><span style=\"font-weight: 400; font-family: georgia, palatino, serif;\">Servidor C2 para el ransomware 4L4MD4R<\/span><\/td>\n<\/tr>\n<tr>\n<td style=\"text-align: left;\"><span style=\"font-family: 'courier new', courier, monospace;\"><span style=\"font-weight: 400;\">145.239.97[.]206<\/span><\/span><\/td>\n<td style=\"text-align: left;\"><span style=\"font-weight: 400; font-family: georgia, palatino, serif;\">Dominio C2 para el ransomware 4L4MD4R<\/span><\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p>Tabla\u00a02. Indicadores asociados con la actividad de explotaci\u00f3n de SharePoint que observ\u00f3 Unit\u00a042.<\/p>\n<h2><a id=\"post-148102-_heading=h.3p8d3dz0ad6g\"><\/a>Recursos adicionales<\/h2>\n<ul>\n<li><a href=\"https:\/\/www.microsoft.com\/en-us\/security\/blog\/2025\/07\/22\/disrupting-active-exploitation-of-on-premises-sharepoint-vulnerabilities\/\" target=\"_blank\" rel=\"noopener\">Interrupci\u00f3n de la explotaci\u00f3n activa de las vulnerabilidades de SharePoint en las instalaciones<\/a> - Microsoft Security<\/li>\n<li><a href=\"https:\/\/www.brighttalk.com\/webcast\/10903\/649025?utm_source=PaloAltoNetworks&amp;utm_medium=brighttalk&amp;utm_campaign=649025\" target=\"_blank\" rel=\"noopener\">Informe sobre amenazas de la unidad 42<\/a> | Defending Against Active Microsoft SharePoint Exploits - Webinar sobre amenazas de la unidad 42 en BrightTALK<\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"<p> Unit 42 not\u00f3 una explotaci\u00f3n activa de vulnerabilidades recientes de Microsoft SharePoint. Descubra c\u00f3mo puede proteger su organizaci\u00f3n.<\/p>\n","protected":false},"author":23,"featured_media":148158,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"footnotes":""},"categories":[8775,8856],"tags":[9369,9370,9371,9374,9372,9375,9373],"product_categories":[8922,8923,8924,8925,8921,8932,8933,8934,8937,8936,8946,8938,8890],"coauthors":[1025],"class_list":["post-148102","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-top-cyberthreats-es-la","category-vulnerabilities-es-la","tag-cve-2025-49704-es-la","tag-cve-2025-49706-es-la","tag-cve-2025-53770-es-la","tag-cve-2025-53771-es-la","tag-microsoft-es-la","tag-sharepoint-es-la","tag-zero-day-es-la","product_categories-advanced-dns-security-es-la","product_categories-advanced-threat-prevention-es-la","product_categories-advanced-url-filtering-es-la","product_categories-advanced-wildfire-es-la","product_categories-cloud-delivered-security-services-es-la","product_categories-cortex-es-la","product_categories-cortex-cloud-es-la","product_categories-cortex-xdr-es-la","product_categories-cortex-xpanse-es-la","product_categories-cortex-xsoar-es-la","product_categories-managed-threat-hunting-es-la","product_categories-next-generation-firewall-es-la","product_categories-unit-42-incident-response-es-la"],"yoast_head":"<!-- This site is optimized with the Yoast SEO Premium plugin v27.0 (Yoast SEO v27.0) - https:\/\/yoast.com\/product\/yoast-seo-premium-wordpress\/ -->\n<title>Explotaci\u00f3n activa de las vulnerabilidades de Microsoft SharePoint (Actualizado el 31 de julio) Explotaci\u00f3n activa de vulnerabilidades de Microsoft SharePoint<\/title>\n<meta name=\"description\" content=\"Unit 42 not\u00f3 una explotaci\u00f3n activa de vulnerabilidades recientes de Microsoft SharePoint. Descubra c\u00f3mo puede proteger su organizaci\u00f3n. Unit 42 not\u00f3 una explotaci\u00f3n activa de vulnerabilidades recientes de Microsoft SharePoint. Descubra c\u00f3mo puede proteger su organizaci\u00f3n.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/microsoft-sharepoint-cve-2025-49704-cve-2025-49706-cve-2025-53770\/\" \/>\n<meta property=\"og:locale\" content=\"es_LA\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Explotaci\u00f3n activa de las vulnerabilidades de Microsoft SharePoint (Actualizado el 31 de julio)\" \/>\n<meta property=\"og:description\" content=\"Unit 42 not\u00f3 una explotaci\u00f3n activa de vulnerabilidades recientes de Microsoft SharePoint. Descubra c\u00f3mo puede proteger su organizaci\u00f3n. Unit 42 not\u00f3 una explotaci\u00f3n activa de vulnerabilidades recientes de Microsoft SharePoint. Descubra c\u00f3mo puede proteger su organizaci\u00f3n.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/microsoft-sharepoint-cve-2025-49704-cve-2025-49706-cve-2025-53770\/\" \/>\n<meta property=\"og:site_name\" content=\"Unit 42\" \/>\n<meta property=\"article:published_time\" content=\"2025-07-31T15:23:56+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2025-08-04T15:17:11+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2024\/12\/02_Vulnerabilities_1920x900.jpg\" \/>\n\t<meta property=\"og:image:width\" content=\"1920\" \/>\n\t<meta property=\"og:image:height\" content=\"900\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/jpeg\" \/>\n<meta name=\"author\" content=\"Unit 42\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<!-- \/ Yoast SEO Premium plugin. -->","yoast_head_json":{"title":"Explotaci\u00f3n activa de las vulnerabilidades de Microsoft SharePoint (Actualizado el 31 de julio) Explotaci\u00f3n activa de vulnerabilidades de Microsoft SharePoint","description":"Unit 42 not\u00f3 una explotaci\u00f3n activa de vulnerabilidades recientes de Microsoft SharePoint. Descubra c\u00f3mo puede proteger su organizaci\u00f3n. Unit 42 not\u00f3 una explotaci\u00f3n activa de vulnerabilidades recientes de Microsoft SharePoint. Descubra c\u00f3mo puede proteger su organizaci\u00f3n.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/unit42.paloaltonetworks.com\/es-la\/microsoft-sharepoint-cve-2025-49704-cve-2025-49706-cve-2025-53770\/","og_locale":"es_LA","og_type":"article","og_title":"Explotaci\u00f3n activa de las vulnerabilidades de Microsoft SharePoint (Actualizado el 31 de julio)","og_description":"Unit 42 not\u00f3 una explotaci\u00f3n activa de vulnerabilidades recientes de Microsoft SharePoint. Descubra c\u00f3mo puede proteger su organizaci\u00f3n. Unit 42 not\u00f3 una explotaci\u00f3n activa de vulnerabilidades recientes de Microsoft SharePoint. Descubra c\u00f3mo puede proteger su organizaci\u00f3n.","og_url":"https:\/\/unit42.paloaltonetworks.com\/es-la\/microsoft-sharepoint-cve-2025-49704-cve-2025-49706-cve-2025-53770\/","og_site_name":"Unit 42","article_published_time":"2025-07-31T15:23:56+00:00","article_modified_time":"2025-08-04T15:17:11+00:00","og_image":[{"width":1920,"height":900,"url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2024\/12\/02_Vulnerabilities_1920x900.jpg","type":"image\/jpeg"}],"author":"Unit 42","twitter_card":"summary_large_image","schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/microsoft-sharepoint-cve-2025-49704-cve-2025-49706-cve-2025-53770\/#article","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/microsoft-sharepoint-cve-2025-49704-cve-2025-49706-cve-2025-53770\/"},"author":{"name":"Unit 42","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/a891f81d18648a1e0bab742238d31a63"},"headline":"Explotaci\u00f3n activa de las vulnerabilidades de Microsoft SharePoint (Actualizado el 31 de julio)","datePublished":"2025-07-31T15:23:56+00:00","dateModified":"2025-08-04T15:17:11+00:00","mainEntityOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/microsoft-sharepoint-cve-2025-49704-cve-2025-49706-cve-2025-53770\/"},"wordCount":4793,"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/microsoft-sharepoint-cve-2025-49704-cve-2025-49706-cve-2025-53770\/#primaryimage"},"thumbnailUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2024\/12\/02_Vulnerabilities_1920x900.jpg","keywords":["CVE-2025-49704","CVE-2025-49706","CVE-2025-53770","CVE-2025-53771","Microsoft","SharePoint","zero-day"],"articleSection":["Amenazas sofisticadas","Vulnerabilidades"],"inLanguage":"es"},{"@type":"WebPage","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/microsoft-sharepoint-cve-2025-49704-cve-2025-49706-cve-2025-53770\/","url":"https:\/\/unit42.paloaltonetworks.com\/es-la\/microsoft-sharepoint-cve-2025-49704-cve-2025-49706-cve-2025-53770\/","name":"Explotaci\u00f3n activa de las vulnerabilidades de Microsoft SharePoint (Actualizado el 31 de julio) Explotaci\u00f3n activa de vulnerabilidades de Microsoft SharePoint","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#website"},"primaryImageOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/microsoft-sharepoint-cve-2025-49704-cve-2025-49706-cve-2025-53770\/#primaryimage"},"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/microsoft-sharepoint-cve-2025-49704-cve-2025-49706-cve-2025-53770\/#primaryimage"},"thumbnailUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2024\/12\/02_Vulnerabilities_1920x900.jpg","datePublished":"2025-07-31T15:23:56+00:00","dateModified":"2025-08-04T15:17:11+00:00","author":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/a891f81d18648a1e0bab742238d31a63"},"description":"Unit 42 not\u00f3 una explotaci\u00f3n activa de vulnerabilidades recientes de Microsoft SharePoint. Descubra c\u00f3mo puede proteger su organizaci\u00f3n. Unit 42 not\u00f3 una explotaci\u00f3n activa de vulnerabilidades recientes de Microsoft SharePoint. Descubra c\u00f3mo puede proteger su organizaci\u00f3n.","breadcrumb":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/microsoft-sharepoint-cve-2025-49704-cve-2025-49706-cve-2025-53770\/#breadcrumb"},"inLanguage":"es","potentialAction":[{"@type":"ReadAction","target":["https:\/\/unit42.paloaltonetworks.com\/es-la\/microsoft-sharepoint-cve-2025-49704-cve-2025-49706-cve-2025-53770\/"]}]},{"@type":"ImageObject","inLanguage":"es","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/microsoft-sharepoint-cve-2025-49704-cve-2025-49706-cve-2025-53770\/#primaryimage","url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2024\/12\/02_Vulnerabilities_1920x900.jpg","contentUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2024\/12\/02_Vulnerabilities_1920x900.jpg","width":1920,"height":900,"caption":"Pictorial representation of attackers leveraging Active Directory or LDAP. Close-up view of a server rack panel with illuminated lights and a digital display reading 'SYSTEM HACKED'."},{"@type":"BreadcrumbList","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/microsoft-sharepoint-cve-2025-49704-cve-2025-49706-cve-2025-53770\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/unit42.paloaltonetworks.com\/"},{"@type":"ListItem","position":2,"name":"Explotaci\u00f3n activa de las vulnerabilidades de Microsoft SharePoint (Actualizado el 31 de julio)"}]},{"@type":"WebSite","@id":"https:\/\/unit42.paloaltonetworks.com\/#website","url":"https:\/\/unit42.paloaltonetworks.com\/","name":"Unit 42","description":"Palo Alto Networks","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/unit42.paloaltonetworks.com\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"es"},{"@type":"Person","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/a891f81d18648a1e0bab742238d31a63","name":"Unit 42","image":{"@type":"ImageObject","inLanguage":"es","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/image\/4ffb3c2d260a0150fb91b3715442f8b3","url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2018\/11\/unit-news-meta.svg","contentUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2018\/11\/unit-news-meta.svg","caption":"Unit 42"},"url":"https:\/\/unit42.paloaltonetworks.com\/es-la\/author\/unit42\/"}]}},"_links":{"self":[{"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts\/148102","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/users\/23"}],"replies":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/comments?post=148102"}],"version-history":[{"count":8,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts\/148102\/revisions"}],"predecessor-version":[{"id":148715,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts\/148102\/revisions\/148715"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/media\/148158"}],"wp:attachment":[{"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/media?parent=148102"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/categories?post=148102"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/tags?post=148102"},{"taxonomy":"product_categories","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/product_categories?post=148102"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/coauthors?post=148102"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}