CVE-2025-53770 Zero-Day Sårbarhed
En alvorlig sikkerhedsfejl i Microsoft SharePoint Server er blevet fokus for en igangværende, storstilet cyberangrebskampagne. Denne sårbarhed, der er sporet som CVE-2025-53770 med en CVSS-score på 9,8, er klassificeret som en zero-day og er tæt relateret til CVE-2025-49704 (CVSS 8.8), en kodeinjektions- og fjernudførelsesfejl, der blev adresseret under Microsofts Patch Tuesday-opdateringer i juli 2025. Fejlen stammer fra deserialisering af upålidelige data, hvilket giver angribere mulighed for at udføre ondsindet kode eksternt og uden korrekt autorisation.
Indholdsfortegnelse
Aktive angreb og påvirkede systemer
Forskere har bekræftet, at cyberkriminelle aktivt udnytter denne sårbarhed mod lokale SharePoint Server-instanser. Det er vigtigt at bemærke, at SharePoint Online i Microsoft 365 forbliver upåvirket. Angriberne udnytter, hvordan SharePoint håndterer objekter, der ikke er tillid til, under deserialisering, hvilket giver dem mulighed for at udføre kommandoer før brugergodkendelse. Når angriberne er inde i systemet, kan de generere forfalskede nyttelast ved hjælp af stjålne maskinnøgler, hvilket muliggør lateral bevægelse og vedvarende adgang. Dette gør detektion og afhjælpning udfordrende, da deres aktivitet kan efterligne legitim SharePoint-trafik.
Komplekse udnyttelseskæder
Beviser tyder på, at CVE-2025-53770 bruges sammen med andre fejl, herunder CVE-2025-49706 (en spoofing-fejl med en CVSS-score på 6,3) og CVE-2025-49704, til at danne en avanceret udnyttelseskæde kendt som ToolShell. Angribere udnytter CVE-2025-49706 til at levere fjernudførelse af kode, der udnytter CVE-2025-49704. Tilføjelse af '_layouts/SignOut.aspx' som HTTP-referer transformerer angiveligt CVE-2025-49706 til CVE-2025-53770, hvilket muliggør en mere strømlinet udnyttelsesproces.
Angrebene involverer typisk ASPX-nyttelast leveret via PowerShell med det formål at stjæle serverens MachineKey-konfiguration (ValidationKey og DecryptionKey). Disse nøgler er kritiske, fordi de giver angribere mulighed for at lave ondsindede __VIEWSTATE-nyttelaster, som SharePoint accepterer som gyldige, hvilket effektivt forvandler enhver godkendt anmodning til en mulighed for fjernudførelse af kode.
Kompromisets omfang
Indtil videre er mere end 85 SharePoint-servere verden over blevet kompromitteret, hvilket har påvirket mindst 29 organisationer, herunder multinationale selskaber og offentlige institutioner. Når angribere først har fået de kryptografiske nøgler, bliver afhjælpning langt mere kompliceret. Selv efter at have installeret en sikkerhedsrettelse kan stjålne nøgler stadig give angribere adgang, medmindre disse nøgler manuelt roteres eller omkonfigureres.
Afbødende foranstaltninger
Indtil en officiel programrettelse blev tilgængelig, rådede Microsoft organisationer til at aktivere integration af Antimalware Scan Interface (AMSI) i SharePoint. For kunder, der ikke kan aktivere AMSI, anbefales det kraftigt at afbryde forbindelsen til internettet for sårbare SharePoint-servere.
Efter løbende rapporter om udnyttelse har Microsoft udgivet programrettelser til både CVE-2025-53770 og en nyligt opdaget fejl, CVE-2025-53771, for at beskytte sårbare systemer.
CISA’s advarsel
Det amerikanske agentur for cybersikkerhed og infrastruktur (CISA) har udsendt en advarsel, der bekræfter aktiv udnyttelse af CVE-2025-53770. Denne sårbarhed giver angribere mulighed for at opnå uautoriseret, fjernudførelse af kode over netværket, hvilket udgør en alvorlig trussel mod ethvert ikke-patchet SharePoint-miljø.
