Ευπάθεια μηδενικής ημέρας CVE-2025-53770

Ένα σοβαρό ελάττωμα ασφαλείας στον Microsoft SharePoint Server έχει γίνει το επίκεντρο μιας συνεχιζόμενης, μεγάλης κλίμακας εκστρατείας κυβερνοεπιθέσεων. Παρακολουθούμενη ως CVE-2025-53770 με βαθμολογία CVSS 9,8, αυτή η ευπάθεια ταξινομείται ως zero-day και σχετίζεται στενά με το CVE-2025-49704 (CVSS 8.8), ένα σφάλμα εισαγωγής κώδικα και απομακρυσμένης εκτέλεσης κώδικα που αντιμετωπίστηκε κατά τη διάρκεια των ενημερώσεων Patch Tuesday της Microsoft τον Ιούλιο του 2025. Το ελάττωμα προέρχεται από την αποσειριοποίηση μη αξιόπιστων δεδομένων, η οποία επιτρέπει στους εισβολείς να εκτελούν κακόβουλο κώδικα από απόσταση και χωρίς την κατάλληλη εξουσιοδότηση.

Ενεργές Επιθέσεις και Συστήματα που Επηρεάζονται

Οι ερευνητές επιβεβαίωσαν ότι οι κυβερνοεγκληματίες εκμεταλλεύονται ενεργά αυτό το θέμα ευπάθειας σε παρουσίες SharePoint Server εσωτερικής εγκατάστασης. Είναι σημαντικό ότι το SharePoint Online στο Microsoft 365 παραμένει ανεπηρέαστο. Οι εισβολείς εκμεταλλεύονται τον τρόπο με τον οποίο το SharePoint χειρίζεται μη αξιόπιστα αντικείμενα κατά την αποσειριοποίηση, παρέχοντάς τους τη δυνατότητα εκτέλεσης εντολών πριν από τον έλεγχο ταυτότητας χρήστη. Μόλις εισέλθουν στο σύστημα, οι εισβολείς μπορούν να δημιουργήσουν πλαστά ωφέλιμα φορτία χρησιμοποιώντας κλεμμένα κλειδιά μηχανήματος, επιτρέποντας την πλευρική κίνηση και τη μόνιμη πρόσβαση. Αυτό καθιστά την ανίχνευση και τον μετριασμό δύσκολες, καθώς η δραστηριότητά τους μπορεί να μιμηθεί τη νόμιμη κίνηση του SharePoint.

Σύνθετες Αλυσίδες Εκμετάλλευσης

Τα στοιχεία υποδηλώνουν ότι το CVE-2025-53770 χρησιμοποιείται μαζί με άλλα ελαττώματα, συμπεριλαμβανομένων των CVE-2025-49706 (ένα σφάλμα πλαστογράφησης με βαθμολογία CVSS 6,3) και CVE-2025-49704, για να σχηματίσουν μια προηγμένη αλυσίδα εκμετάλλευσης γνωστή ως ToolShell. Οι εισβολείς αξιοποιούν το CVE-2025-49706 για να παραδώσουν απομακρυσμένα φορτία εκτέλεσης κώδικα που εκμεταλλεύονται το CVE-2025-49704. Η προσθήκη του '_layouts/SignOut.aspx' ως παραπομπής HTTP φέρεται να μετατρέπει το CVE-2025-49706 σε CVE-2025-53770, επιτρέποντας μια πιο βελτιστοποιημένη διαδικασία εκμετάλλευσης.

Οι επιθέσεις συνήθως περιλαμβάνουν ωφέλιμα φορτία ASPX που παραδίδονται μέσω PowerShell, με στόχο την κλοπή της διαμόρφωσης MachineKey του διακομιστή (ValidationKey και DecryptionKey). Αυτά τα κλειδιά είναι κρίσιμα επειδή επιτρέπουν στους εισβολείς να δημιουργήσουν κακόβουλα ωφέλιμα φορτία __VIEWSTATE που το SharePoint θα αποδεχτεί ως έγκυρα, μετατρέποντας ουσιαστικά οποιοδήποτε αίτημα με έλεγχο ταυτότητας σε μια ευκαιρία απομακρυσμένης εκτέλεσης κώδικα.

Κλίμακα Συμβιβασμού

Μέχρι στιγμής, περισσότεροι από 85 διακομιστές SharePoint παγκοσμίως έχουν παραβιαστεί, επηρεάζοντας τουλάχιστον 29 οργανισμούς, συμπεριλαμβανομένων πολυεθνικών εταιρειών και κυβερνητικών υπηρεσιών. Μόλις οι εισβολείς αποκτήσουν τα κρυπτογραφικά κλειδιά, η αποκατάσταση γίνεται πολύ πιο περίπλοκη. Ακόμα και μετά την εφαρμογή μιας ενημέρωσης ασφαλείας, τα κλεμμένα κλειδιά ενδέχεται να επιτρέπουν στους εισβολείς να διατηρούν πρόσβαση, εκτός εάν αυτά τα κλειδιά εναλλάσσονται ή αναδιαμορφώνονται χειροκίνητα.

Μέτρα μετριασμού

Μέχρι να γίνει διαθέσιμη μια επίσημη ενημέρωση κώδικα, η Microsoft συμβούλευε τους οργανισμούς να ενεργοποιήσουν την ενσωμάτωση του Antimalware Scan Interface (AMSI) στο SharePoint. Για τους πελάτες που δεν μπορούν να ενεργοποιήσουν το AMSI, συνιστάται ανεπιφύλακτα η αποσύνδεση των ευάλωτων διακομιστών SharePoint από το διαδίκτυο.

Μετά από συνεχιζόμενες αναφορές για εκμετάλλευση, η Microsoft κυκλοφόρησε ενημερώσεις κώδικα τόσο για το CVE-2025-53770 όσο και για ένα πρόσφατα ανακαλυφθέν ελάττωμα, το CVE-2025-53771, για την προστασία των ευάλωτων συστημάτων.

Προειδοποίηση της CISA

Η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών των ΗΠΑ (CISA) εξέδωσε μια ειδοποίηση που επιβεβαιώνει την ενεργή εκμετάλλευση του CVE-2025-53770. Αυτή η ευπάθεια επιτρέπει στους εισβολείς να επιτύχουν μη εξουσιοδοτημένη, απομακρυσμένη εκτέλεση κώδικα μέσω του δικτύου, αποτελώντας σοβαρή απειλή για οποιοδήποτε περιβάλλον SharePoint χωρίς ενημέρωση κώδικα.