1. 🌐 ToolShell en SharePoint on‑premises (CVE‑2025‑53770 / 53771 & CVE‑2025‑49704 / 49706)
- Desde el 7 de julio, se identifica explotación activa de vulnerabilidades críticas en SharePoint on‑prem, bajo el nombre de ToolShell.
- Microsoft lanzó parches de emergencia entre el 19 y 20 de julio para SharePoint 2019 y Subscription Edition. Aún resta parche definitivo para SharePoint 2016.
- La amenaza ya impactó a decenas de organizaciones en EE.UU., Europa y Asia, incluidas agencias federales como la NNSA.
- La explotación permite ejecución remota, robo de Machine Keys y persistencia mediante backdoors (webshells como
spinstall0.aspx
). - CISA incorpora ToolShell en su lista KEV y emite directrices de contención el 20 de julio.
Recomendaciones clave:
- Aplicar parches de emergencia.
- Desconectar servidores expuestos de internet hasta aplicar mitigaciones.
- Rotar Machine Keys y revisar logs para actividad inusual.
- Realizar búsqueda activa de artefactos como
spinstall0.aspx
.
2. 🧰 Otras vulnerabilidades críticas (Patch Tuesday de julio)
- CVE‑2025‑47981: vulnerabilidad RCE en SPNEGO/NEGOEX con puntaje CVSS de 9.8. Afecta autenticación federada y servicios Active Directory, sin interacción del usuario.
- CVE‑2025‑48799: elevación de privilegios local en Windows Update Service, foco alta severidad e impacto directo en entornos Windows críticos.
Acciones recomendadas:
- Parchar de inmediato todos los sistemas Windows, especialmente los que usan ADFS o SPNEGO.
- Priorizar servidores expuestos o en DMZ.
3. 🚨 Nuevas amenazas e incidentes emergentes
- CitrixBleed 2 (CVE‑2025‑5777): falla crítica en dispositivos Citrix NetScaler ADC/Gateway. Se han publicado PoC, y CISA exige parche en 24 h para entornos federales.
- Scattered Spider / Okto Tempest: ataques avanzados vía ingeniería social en entornos VMware y Snowflake, utilizando malware como RattyRAT y ransomware DragonForce. Recomendadas medidas de MFA resistente a phishing y segmentación estricta.
- Ataque a infraestructura municipal en EE.UU. (St. Paul, Minnesota) provocó intervención de la Guardia Nacional y colaboración con FBI tras apagón tecnológico masivo.
🧑💻 Consejos operativos para sysadmins
- Patch SharePoint con urgencia y seguir mitigaciones adicionales (AMSI, aislamiento, rotación de claves).
- Actualizar sistemas Windows con foco en SPNEGO (CVE‑2025‑47981) y elevar prioridad en servicios federados/AD.
- Parchear NetScaler inmediatamente si está expuesto a internet (CitrixBleed 2).
- Fortalecer defensa contra phishing: MFA FIDO/WebAuthn, segmentación Zero Trust, limitar sesiones y monitorear actividad.
- Prepararse para incidentes complejos: definir protocolos de apagado, respaldo offline e hipótesis de recuperación.
✅ En resumen
Julio 2025 nos recordó que la velocidad de respuesta es clave. Desde SharePoint hasta vulnerabilidades RCE y ataques dirigidos a infraestructuras críticas, solo los equipos con visibilidad, parches al día y estrategias resilientes pueden mantenerse a salvo. En Sentra IT respaldamos esta exigencia diaria con monitoreo 24/7, respuesta proactiva e inteligencia aplicada a infraestructuras críticas.
Porque cuando el riesgo es global, la preparación local marca la diferencia.
Descubre más desde Sentra IT
Suscríbete y recibe las últimas entradas en tu correo electrónico.