Microsoft confirma que el seu pedaç inicial per a SharePoint no va aconseguir corregir la vulnerabilitat crítica, cosa que va permetre a grups com Linen Typhoon i Violet Typhoon aprofitar la bretxa.

Microsoft s’ha vist sotmesa a una tensió extrema fins que ha corregit la vulnerabilitat crítica de dia zero recollida com a CVE-2025-53770 i CVE-2025-53771 present a les versions SharePoint Server Subscription Edition, SharePoint 2019 i SharePoint 2016 de la seva plataforma web de col·laboració i gestió de documents. Aquesta vulnerabilitat, que impacta els entorns instal·lats localment -SharePoint 365 no està afectat- es va identificar per primera vegada el mes de maig, cosa que ha permès que pirates informàtics accedeixin, segons dades actualitzades, a unes 100 organitzacions, entre les quals hi ha entitats financeres, universitats i organismes governamentals com ara l’Administració Nacional de Seguretat Nuclear dels EUA.

Dimarts passat, com ja va informar Escudo Digital, un portaveu de la tecnològica va explicar que el pedaç inicial d’emergència, llançat el 8 de juliol per intentar contenir l’augment d’atacs dirigits a clients amb servidors SharePoint on-premise, no va aconseguir solucionar la fallada, tot i que després va afegir pedaços posteriors que sí que han resolt el problema. L’empresa ha identificat dos grups de pirates informàtics xinesos, Linen Typhoon i Violet Typhoon, juntament amb un tercer grup, com els responsables d’explotar la vulnerabilitat. Segons Microsoft i Google, aquests grups estan vinculats a la primera onada d’atacs, tal com informa Reuters.

La vulnerabilitat va ser descoberta el mes de maig

La vulnerabilitat va ser descoberta per primera vegada el passat mes de maig durant una competició de pirateig celebrada a Berlín, organitzada per la firma de ciberseguretat Trend Micro. L’esdeveniment oferia un premi de 100.000 dòlars per trobar explotadors de ‘dia zero’, és a dir, vulnerabilitats digitals prèviament no divulgades. Un investigador de la divisió de ciberseguretat de Viettel, una empresa de telecomunicacions vietnamita, va identificar la fallada a SharePoint, anomenada ‘ToolShell’, i va demostrar com explotar-la, cosa que el va fer creditor del premi.

Aquesta bretxa, que permet l’execució remota de codi sense necessitat d’autenticació, és explotada de manera activa i a gran escala per actors maliciosos a tot el món, ja que s’estima que ha compromès almenys 75 servidors de Microsoft. El risc, que continua vigent, és especialment alt per a empreses multinacionals i entitats governamentals, a causa de la possibilitat que els atacants aconsegueixin accés persistent i facin moviments laterals dins de les xarxes afectades.

«Ens enfrontem a una amenaça urgent i activa: els ciberdelinqüents estan explotant una vulnerabilitat crítica zero-day a SharePoint on-premise, cosa que posa en perill milers d’empreses a nivell global. El nostre equip ha validat nombrosos intents de compromís des del 7 de juliol, que han afectat sectors governamentals, de telecomunicacions i tecnològics. Recomanem a les empreses que actualitzin immediatament els seus sistemes de seguretat: aquesta campanya avança amb rapidesa i demostra un alt nivell de sofisticació», ha explicat Vol Finkelstein, director d’Intel·ligència d’Amenaces de Check Point Research.

Entre les organitzacions afectades hi ha, tal com ha apuntat Bloomberg, l’Administració Nacional de Seguretat Nuclear dels EUA, responsable de salvaguardar la seguretat nacional del país mitjançant l’aplicació militar de la ciència nuclear. Tot i això, no s’ha informat que s’hagi compromès informació delicada o classificada. 

Més de 8.000 servidors en línia compromesos

Tot i el pedaç llançat inicialment per Microsoft el 8 de juliol, en els deu dies següents, tal com destaca Reuters, les empreses de ciberseguretat van monitorar poc després un augment en l’activitat maliciosa adreçada als servidors de SharePoint. Segons mostren les dades recollides per Shodan, un motor de cerca que analitza servidors, càmeres web, encaminadors i altres dispositius que exposen informació a Internet, els pirates informàtics podrien haver compromès més de 8.000 servidors en línia, la qual cosa afecta auditors, bancs, organitzacions de salut, multinacionals, com també organismes governamentals internacionals i estatals dels Estats Units.

«A la campanya inicial, observem la implementació de codi que intenta extreure dades ASP.NET confidencials dels servidors objectiu. L’atacant pot fer servir aquestes dades delicades robades per facilitar accés addicional a la víctima. Les organitzacions que utilitzen aquest programari han de seguir urgentment les recomanacions de Microsoft sobre pedaços i remediació», ha afirmat Rafe Pilling, director d’Intel·ligència davant d’amenaces a la unitat Sophos Counter Threat Unit.

Davant d’aquesta situació Microsoft ha emès una sèrie de recomanacions urgents, i la CISA (Agència de Ciberseguretat i Infraestructura dels EUA) ha inclòs CVE-2025-53770 al seu catàleg de Vulnerabilitats conegudes i explotades i ha demanat a totes les organitzacions amb servidors SharePoint locals que apliquin les mesures de protecció sense demora.