CVE-2025-53770 Nullpäeva haavatavus
Microsoft SharePoint Serveri tõsine turvaauk on sattunud käimasoleva ulatusliku küberrünnaku sihtmärgiks. See haavatavus, mis on tuvastatud kui CVE-2025-53770 ja mille CVSS-skoor on 9,8, on liigitatud nullpäeva haavatavaks ja on tihedalt seotud CVE-2025-49704-ga (CVSS 8.8), mis on koodi süstimise ja kaugkäivitamise viga, mida käsitleti Microsofti 2025. aasta juuli Patch Tuesday värskendustes. Viga tuleneb usaldamatute andmete deserialiseerimisest, mis võimaldab ründajatel pahatahtlikku koodi eemalt ja ilma korraliku loata käivitada.
Sisukord
Aktiivsed rünnakud ja mõjutatud süsteemid
Teadlased on kinnitanud, et küberkurjategijad kasutavad seda haavatavust aktiivselt ära kohapealsete SharePoint Serveri eksemplaride vastu. Oluline on see, et SharePoint Online Microsoft 365-s jääb puutumata. Ründajad kasutavad ära seda, kuidas SharePoint deserialiseerimise ajal ebausaldusväärseid objekte käsitleb, andes neile võimaluse enne kasutaja autentimist käske täita. Süsteemi sisenedes saavad ründajad varastatud masinavõtmete abil genereerida võltsitud lasti, võimaldades külgmist liikumist ja püsivat juurdepääsu. See muudab tuvastamise ja leevendamise keeruliseks, kuna nende tegevus võib jäljendada seaduslikku SharePointi liiklust.
Komplekssed ärakasutamise ahelad
Tõendid viitavad sellele, et CVE-2025-53770 viga kasutatakse koos teiste vigadega, sealhulgas CVE-2025-49706 (trükkimisviga CVSS-skooriga 6,3) ja CVE-2025-49704, et moodustada täiustatud ärakasutamise kett, mida tuntakse ToolShellina. Ründajad kasutavad CVE-2025-49706 viga, et edastada kaugkäivitamise koormusi, mis kasutavad ära CVE-2025-49704 viga. '_layouts/SignOut.aspx' lisamine HTTP-viitajaks teisendab väidetavalt CVE-2025-49706 vigaks CVE-2025-53770, võimaldades sujuvamat ärakasutamise protsessi.
Rünnakud hõlmavad tavaliselt PowerShelli kaudu edastatud ASPX-i kasulikke koormusi eesmärgiga varastada serveri MachineKey konfiguratsioon (ValidationKey ja DecryptionKey). Need võtmed on kriitilise tähtsusega, kuna need võimaldavad ründajatel luua pahatahtlikke __VIEWSTATE-i kasulikke koormusi, mida SharePoint aktsepteerib kehtivatena, muutes iga autentitud päringu kaugkoodi käivitamise võimaluseks.
Kompromissi ulatus
Praeguseks on üle maailma ohustatud üle 85 SharePointi serveri, mis on mõjutanud vähemalt 29 organisatsiooni, sealhulgas rahvusvahelisi korporatsioone ja valitsusasutusi. Kui ründajad on krüptograafilised võtmed kätte saanud, muutub probleemi lahendamine palju keerulisemaks. Isegi pärast turvapaigalduse rakendamist võivad varastatud võtmed ründajatel juurdepääsu säilitada, kui neid võtmeid käsitsi ei vahetata ega ümber konfigureerita.
Leevendusmeetmed
Kuni ametliku paranduse kättesaadavaks muutumiseni soovitas Microsoft organisatsioonidel lubada SharePointis Antimalware Scan Interface'i (AMSI) integratsiooni. Klientidele, kes ei saanud AMSI-d aktiveerida, soovitati tungivalt haavatavate SharePointi serverite internetiühendus katkestada.
Pärast jätkuvaid rünnakuaruannete aruandeid on Microsoft haavatavate süsteemide kaitsmiseks välja andnud nii CVE-2025-53770 kui ka äsja avastatud vea CVE-2025-53771 parandused.
CISA hoiatus
USA küberturvalisuse ja infrastruktuuri turvalisuse amet (CISA) on välja andnud hoiatuse, mis kinnitab CVE-2025-53770 aktiivset ärakasutamist. See haavatavus võimaldab ründajatel võrgus autentimata ja kaugjuhtimise teel koodi käivitada, kujutades endast tõsist ohtu igale parandamata SharePointi keskkonnale.
