El Equipo Global de Investigación y Análisis (GReAT) de Kaspersky descubrió que las vulnerabilidades recientemente explotadas de ToolShell en Microsoft SharePoint tienen su origen en una corrección incompleta del CVE-2020-1147, reportada por primera vez en 2020.

Las vulnerabilidades en SharePoint se han convertido en una amenaza importante para la ciberseguridad este año, debido a su explotación activa. Kaspersky Security Network detectó intentos de explotación en países de todo el mundo, incluidos Egipto, Jordania, Rusia, Vietnam y Zambia. Los ataques están dirigidos a organizaciones de los sectores gubernamental, financiero, manufacturero, forestal y agrícola. Las soluciones de Kaspersky detectaron y bloquearon proactivamente los ataques de ToolShell antes de que las vulnerabilidades se divulgaran públicamente.

Los investigadores de GReAT analizaron el exploit publicado de ToolShell y descubrieron que es alarmantemente similar al exploit del CVE-2020-1147. Esto sugiere que el parche CVE-2025-53770 es, de hecho, una solución efectiva para la vulnerabilidad que el CVE-2020-1147 intentó resolver hace cinco años.

La conexión con el CVE-2020-1147 se hizo evidente tras el descubrimiento de las vulnerabilidades CVE-2025-49704 y CVE-2025-49706, que fueron parchadas el 8 de julio. Sin embargo, esas correcciones podían ser eludidas añadiendo una simple barra diagonal (/) en la carga útil del exploit. Una vez que Microsoft fue informado de la explotación activa de estas vulnerabilidades, respondió con parches más completos que abordaron los posibles métodos de evasión, designando las vulnerabilidades como CVE-2025-53770 y CVE-2025-53771. El aumento en los ataques a servidores de SharePoint a nivel mundial se produjo en el periodo entre la explotación inicial y la implementación completa de los parches.