Grupos de ciberamenaza con vínculos a China han explotado activamente la vulnerabilidad ToolShell (CVE-2025-53770) en servidores SharePoint on-premises para llevar a cabo campañas de espionaje dirigidas a organizaciones de alto valor en Múltiples continentes. La explotación se produjo pocas semanas después de que Microsoft publicara el parche, indicando una rápida adaptación del adversario.
ToolShell: RCE sin autenticación en SharePoint
ToolShell combina vulnerabilidades previas para lograr la Ejecución de Código Remoto (RCE) en servidores SharePoint sin necesidad de autenticación.
Mecanismo de Explotación
- RCE sin Autenticación: La falla permite a un atacante, mediante la manipulación de endpoints como /ToolPane.aspx, cargar datos deserializados no confiables y eludir los controles de autenticación.
- Web Shell y Claves de Máquina: Una vez explotada, el atacante carga un archivo ASPX (ej., spinstall0.aspx) que actúa como web Shell. El objetivo primario es robar la Clave de Máquina (MachineKey) de ASP.NET, que permite al atacante forjar tokens de autenticación y establecer persistencia.
- Objetivos Globales: Los blancos incluyen gobiernos en África y Sudamérica, una empresa de telecomunicaciones en Oriente Medio, una universidad en EE.UU. UU. y una entidad financiera europea, demostrando un programa de espionaje amplio y estratégico.
Tácticas y Herramientas (Post-Explotación)
Los atacantes utilizan una combinación de herramientas hechas a medida y utilidades legítimas para evadir la detección:
- Carga lateral de DLL: Abuso de ejecutables legítimos de proveedores como Trend Micro o BitDefender para cargar DLL maliciosas.
- Puertas traseras personalizadas: Despliegue de malware a medida como Zingdoor (backdoor en Go), ShadowPad (RAT modular) y KrustyLoader (loader en Rust).
- Living-Off-the-Land: Uso de herramientas legítimas de administración como Certutil y GoGo Scanner, y el uso del exploit PetitPotam para escalada de privilegios.
Recomendaciones
- Actualización Urgente y Rotación de Claves
- Parcheo Inmediato: Verifique todos los servidores SharePoint locales expuestos y aplique el parche para CVE-2025-53770 sin demora.
- Rotación de claves: Reiniciar IIS después del parche y, crucialmente, rotar las claves ASP.NET MachineKey para invalidar cualquier token forjado o robado. Girar todas las claves de cifrado de SharePoint.
- Aislamiento temporal: Si no se puede parchear de inmediato, aislar el servidor, limitar el acceso al puerto de administración e implementar WAF o filtros para el endpoint /ToolPane.aspx.
- Detección y Revisión de Persistencia
- Búsqueda de Web Shells: Monitorear el despliegue de web shells en rutas típicas (LAYOUTS, TEMPLATE, etc.) y buscar el archivo spinstall0.aspxo variantes.
- Monitoreo de Living-Off-the-Land: Auditar el uso de herramientas de administración legítimas (Certutil, GoGo Scanner, etc.) que se activan sin justificación en servidores de producción.
- Análisis Forense: Realizar un análisis en hosts vulnerados: revisar tareas programadas, servicios recién instalados y módulos .NET sospechosos cargados en IIS que indiquen que puedan puertas traseras persistentes.
- Rotación de Credenciales: Rotar todas las credenciales de administración y revisar las cuentas de servicio que podrían haber sido comprometidas.
- Endurecimiento estructural
- Principio de Mínimo Privilegio: Aplicar el principio de privilegio mínimo en servidores de SharePoint: restringir el acceso solo al personal necesario y limitar el uso de cuentas con privilegios elevados.
- Protección del Endpoint: Asegúrese de que AMSI (Antimalware Scan Interface) esté activado y que las soluciones antivirus /EDR estén actualizadas.
- Segmentación: Mantener el inventario de servidores on-prem y segmentar las redes de administración de la red de producción.
