Investigadores han desarrollado un módulo de exploit de Metasploit, identificado como la solicitud de extracción #20409, que se dirige a las vulnerabilidades críticas CVE-2025-53770 y CVE-2025-53771. Estas vulnerabilidades permiten ataques de ejecución remota de código (RCE) no autenticados contra instalaciones vulnerables de SharePoint. Rapid7 confirmó que el exploit fue observado por primera vez en ataques activos alrededor del 19 de julio de 2025, utilizando una única solicitud HTTP para comprometer los servidores de SharePoint. El exploit se dirige específicamente al punto final / _layouts/15/ToolPane.aspx, aprovechando una vulnerabilidad de deserialización para lograr la ejecución de código con privilegios de SYSTEM. Durante las pruebas, el módulo comprometió con éxito un sistema Windows Server 2022 que ejecutaba SharePoint Server 2019, estableciendo una sesión de Meterpreter. Aunque se intentaron parches iniciales, el nuevo exploit logra eludir estas protecciones. Se recomienda a las organizaciones que revisen inmediatamente sus implementaciones de SharePoint en busca de indicadores de compromiso e implementen protecciones a nivel de red mientras esperan los parches oficiales de Microsoft.
Puede encontrar más detalles en el artículo original:
Metasploit Module for SharePoint 0-Day
La principal implicación es que, ahora, cualquier persona con conocimientos informáticos limitados puede explotar esta vulnerabilidad. Metasploit es un framework de pentesting (pruebas de penetración) muy popular y fácil de usar, diseñado para simplificar la explotación de vulnerabilidades. Al tener un módulo específico para estas fallas de SharePoint:
- Democratiza el ataque: Ya no se requiere ser un experto en programación o ingeniería inversa para construir un exploit. Basta con aprender a usar Metasploit, cargar el módulo y seguir unas pocas instrucciones. Esto abre la puerta a un gran número de «script kiddies» (personas con poca habilidad que utilizan herramientas prefabricadas) que pueden ahora comprometer servidores SharePoint vulnerables.
- Acelera la propagación de ataques: La facilidad de uso del módulo significa que los ataques se pueden lanzar de forma masiva y automatizada con mayor rapidez. Los actores de amenazas pueden escanear la red en busca de servidores SharePoint expuestos y aplicar el exploit de forma sistemática.
- Aumenta el riesgo para las organizaciones: Para las empresas que utilizan SharePoint, el riesgo de ser atacadas se eleva exponencialmente. Incluso si sus servidores no son objetivos de ataques dirigidos por actores sofisticados, ahora son vulnerables a una gama mucho más amplia de atacantes.
En resumen, la disponibilidad de este módulo en Metasploit convierte una vulnerabilidad compleja en una herramienta al alcance de muchos, haciendo que la amenaza sea mucho más generalizada e inmediata para cualquier organización que tenga servidores SharePoint sin parchear o expuestos. Es una llamada de atención urgente para que los administradores de sistemas tomen medidas defensivas.
Información y solución de la vulnerabilidad: