Zranitelnost typu zero-day CVE-2025-53770
Závažná bezpečnostní chyba v serveru Microsoft SharePoint Server se stala terčem probíhající rozsáhlé kybernetické kampaně. Tato zranitelnost, evidovaná jako CVE-2025-53770 se skóre CVSS 9,8, je klasifikována jako zero-day a úzce souvisí s chybou CVE-2025-49704 (CVSS 8.8), která zahrnuje vkládání kódu a vzdálené spuštění kódu a byla vyřešena v rámci aktualizací Patch Tuesday od společnosti Microsoft z července 2025. Chyba pramení z deserializace nedůvěryhodných dat, což útočníkům umožňuje spouštět škodlivý kód na dálku a bez řádného oprávnění.
Obsah
Aktivní útoky a zasažené systémy
Výzkumníci potvrdili, že kyberzločinci aktivně zneužívají tuto zranitelnost proti místním instancím SharePoint Serveru. Důležité je, že SharePoint Online v Microsoft 365 zůstává nedotčen. Útočníci zneužívají způsob, jakým SharePoint během deserializace zpracovává nedůvěryhodné objekty, což jim umožňuje provádět příkazy před ověřením uživatele. Jakmile se útočníci dostanou do systému, mohou generovat falešné datové zátěže pomocí ukradených klíčů počítače, což umožňuje laterální pohyb a trvalý přístup. To ztěžuje detekci a zmírňování rizik, protože jejich aktivita může napodobovat legitimní provoz SharePointu.
Komplexní řetězce zneužití
Důkazy naznačují, že CVE-2025-53770 je používána spolu s dalšími chybami, včetně CVE-2025-49706 (chyba typu spoofing se skóre CVSS 6,3) a CVE-2025-49704, k vytvoření pokročilého řetězce exploitů známého jako ToolShell. Útočníci zneužívají CVE-2025-49706 k doručování dat pro vzdálené spuštění kódu, které zneužívají CVE-2025-49704. Přidání '_layouts/SignOut.aspx' jako odkazovacího bodu HTTP údajně transformuje CVE-2025-49706 na CVE-2025-53770, což umožňuje efektivnější proces exploitace.
Útoky obvykle zahrnují datové části ASPX doručované prostřednictvím PowerShellu s cílem ukrást konfiguraci MachineKey serveru (ValidationKey a DecryptionKey). Tyto klíče jsou kritické, protože útočníkům umožňují vytvářet škodlivé datové části __VIEWSTATE, které SharePoint přijme jako platné, čímž efektivně promění jakýkoli ověřený požadavek v příležitost ke vzdálenému spuštění kódu.
Stupnice kompromisu
Doposud bylo po celém světě napadeno více než 85 serverů SharePoint, což mělo dopad na nejméně 29 organizací, včetně nadnárodních korporací a vládních agentur. Jakmile útočníci získají kryptografické klíče, náprava se stává mnohem komplikovanější. I po aplikaci bezpečnostní záplaty mohou odcizené klíče útočníkům stále umožňovat přístup, pokud tyto klíče nejsou ručně otočeny nebo překonfigurovány.
Zmírňující opatření
Dokud nebyla k dispozici oficiální oprava, společnost Microsoft organizacím doporučovala, aby v SharePointu povolily integraci rozhraní Antimalware Scan Interface (AMSI). Zákazníkům, kteří nemohou aktivovat AMSI, bylo důrazně doporučeno odpojit zranitelné servery SharePoint od internetu.
V návaznosti na průběžné zprávy o zneužití vydala společnost Microsoft záplaty pro chybu CVE-2025-53770 a nově objevenou chybu CVE-2025-53771, aby chránila zranitelné systémy.
Varování CISA
Americká Agentura pro kybernetickou bezpečnost a bezpečnost infrastruktury (CISA) vydala varování potvrzující aktivní zneužití zranitelnosti CVE-2025-53770. Tato zranitelnost umožňuje útočníkům neověřené vzdálené spuštění kódu přes síť, což představuje vážnou hrozbu pro jakékoli nezabezpečené prostředí SharePointu.
