Уязвимост от нулев ден CVE-2025-53770
Сериозен пропуск в сигурността на Microsoft SharePoint Server се превърна във фокус на продължаваща мащабна кампания за кибератаки. Проследена като CVE-2025-53770 с CVSS резултат от 9.8, тази уязвимост е класифицирана като zero-day и е тясно свързана с CVE-2025-49704 (CVSS 8.8), грешка за инжектиране на код и дистанционно изпълнение на код, отстранена по време на актуализациите на Microsoft от юли 2025 г. Пропускът произтича от десериализацията на ненадеждни данни, което позволява на атакуващите да изпълняват злонамерен код дистанционно и без подходящо разрешение.
Съдържание
Активни атаки и засегнати системи
Изследователи потвърдиха, че киберпрестъпниците активно експлоатират тази уязвимост срещу локални инстанции на SharePoint Server. Важно е да се отбележи, че SharePoint Online в Microsoft 365 остава незасегнат. Нападателите експлоатират начина, по който SharePoint обработва ненадеждни обекти по време на десериализация, което им дава възможност да изпълняват команди преди удостоверяване на потребителя. Веднъж влезли в системата, нападателите могат да генерират фалшиви полезни товари, използвайки откраднати машинни ключове, което позволява странично движение и постоянен достъп. Това прави откриването и смекчаването на уязвимостите трудни, тъй като тяхната дейност може да имитира легитимен трафик на SharePoint.
Сложни вериги за експлоатация
Доказателствата сочат, че CVE-2025-53770 се използва заедно с други недостатъци, включително CVE-2025-49706 (бъг за подправяне с CVSS резултат 6.3) и CVE-2025-49704, за да формира усъвършенствана верига от експлойти, известна като ToolShell. Атакуващите използват CVE-2025-49706, за да доставят полезни товари за дистанционно изпълнение на код, които експлоатират CVE-2025-49704. Добавянето на „_layouts/SignOut.aspx“ като HTTP референт, според съобщенията, трансформира CVE-2025-49706 в CVE-2025-53770, което позволява по-рационализиран процес на експлоатация.
Атаките обикновено включват ASPX полезни товари, доставяни чрез PowerShell, с цел кражба на конфигурацията на MachineKey на сървъра (ValidationKey и DecryptionKey). Тези ключове са критични, защото позволяват на атакуващите да създават злонамерени __VIEWSTATE полезни товари, които SharePoint ще приема като валидни, като по този начин ефективно превръщат всяка удостоверена заявка във възможност за дистанционно изпълнение на код.
Мащаб на компромиса
Досега над 85 SharePoint сървъра по целия свят са били компрометирани, което е засегнало поне 29 организации, включително мултинационални корпорации и правителствени агенции. След като нападателите разполагат с криптографските ключове, отстраняването на проблемите става много по-сложно. Дори след прилагане на корекция за сигурност, откраднатите ключове все още могат да позволят на нападателите да запазят достъп, освен ако тези ключове не бъдат ръчно завъртени или преконфигурирани.
Мерки за смекчаване
Докато не стане достъпен официален пач, Microsoft съветваше организациите да активират интеграцията на Antimalware Scan Interface (AMSI) в SharePoint. За клиенти, които не могат да активират AMSI, силно се препоръчваше да изключат уязвимите SharePoint сървъри от интернет.
След продължаващи доклади за експлоатация, Microsoft пусна корекции както за CVE-2025-53770, така и за новооткрита уязвимост, CVE-2025-53771, за да защити уязвимите системи.
Предупреждението на CISA
Агенцията за киберсигурност и сигурност на инфраструктурата на САЩ (CISA) издаде предупреждение, потвърждаващо активната експлоатация на CVE-2025-53770. Тази уязвимост позволява на атакуващите да изпълнят неавторизиран, отдалечен код през мрежата, което представлява сериозна заплаха за всяка незакърпена среда на SharePoint.
