El 18 de julio de 2025, los analistas de Sophos MDR observaron una avalancha de actividad maliciosa dirigida a instancias locales de SharePoint, incluidos comandos maliciosos de PowerShell ejecutados en múltiples entornos. Un análisis adicional determinó que estos eventos probablemente son el resultado de la implementación activa y maliciosa de un exploit conocido como «ToolShell».
ToolShell se refiere colectivamente a la explotación encadenada de dos vulnerabilidades de SharePoint, CVE-2025-49704 y CVE-2025-49706. El exploit ToolShell se dio a conocer en el evento Pwn2Own celebrado en Berlín en mayo de 2025, y Microsoft publicó parches para ambas vulnerabilidades en su lanzamiento Patch Tuesday de julio.
Sin embargo, los actores maliciosos desarrollaron posteriormente exploits que parecen eludir estos parches, lo que ha llevado a la publicación de dos nuevos CVE-ID: CVE-2025-53770 y CVE-2025-53771.
Sophos MDR se ha puesto en contacto con todas las víctimas conocidas, pero dado que estas vulnerabilidades se están explotando activamente, instamos a los usuarios a que apliquen los parches correspondientes a los servidores SharePoint locales (según Microsoft, SharePoint Online en Microsoft 365 no se ve afectado) lo antes posible.
Lo que hemos visto
Los comandos maliciosos de PowerShell observados por Sophos MDR descargan un archivo aspx malicioso en las siguientes rutas de un servidor SharePoint afectado:
C:\PROGRA~1\COMMON~1\MICROS~1\WEBSER~1\16\TEMPLATE\LAYOUTS\spinstall0.aspx C:\progra~1\common~1\micros~1\webser~1\16\template\layouts\info3.aspx
Aunque los actores maliciosos pueden optar por implementar muchas herramientas diferentes, en los casos observados recientemente por Sophos, se implementó un webshell conocido como SharpViewStateShell, que se detectó como Troj/WebShel-P.
En algunos casos, los actores maliciosos han intentado acceder a las claves de máquina mediante la implementación de un webshell a través de PowerShell, lo que activa la protección Access_3b de Sophos. En caso de que las claves del equipo se vean comprometidas, será necesario rotarlas siguiendo las instrucciones proporcionadas por Microsoft.
Qué hacer
Se recomienda a los clientes que ejecutan instancias de SharePoint locales que apliquen los parches oficiales de Microsoft y sigan las recomendaciones proporcionadas para mitigar el problema. Los usuarios que no puedan aplicar los parches por cualquier motivo deben considerar la posibilidad de desconectar temporalmente las instancias.
Además, recomendamos que los usuarios comprueben la existencia de los archivos mencionados anteriormente y, si están presentes, los eliminen. Se debe informar a los usuarios de que puede haber variaciones adicionales que Sophos aún no ha observado; esta lista no debe considerarse completa.
Próximos pasos
Sophos MDR seguirá supervisando activamente cualquier indicio de actividad posterior a la explotación relacionada con esta vulnerabilidad. Publicaremos actualizaciones en esta página a medida que dispongamos de más información relevante.
