CVE-2025-53770 Nollapäivähaavoittuvuus
Microsoft SharePoint Serverin vakava tietoturva-aukko on joutunut laajamittaisen kyberhyökkäyksen kohteeksi. Haavoittuvuus, jonka CVE-2025-53770-pistemäärä on 9,8, on luokiteltu nollapäivähaavoittuvuudeksi ja liittyy läheisesti CVE-2025-49704 (CVSS 8.8) -haavoittuvuuteen, joka on koodin injektointiin ja etäkoodin suorittamiseen liittyvä virhe, johon Microsoft korjasi heinäkuun 2025 tiistain Patch-päivitykset. Virhe johtuu epäluotettavien tietojen deserialisoinnista, jonka avulla hyökkääjät voivat suorittaa haitallista koodia etänä ja ilman asianmukaista valtuutusta.
Sisällysluettelo
Aktiiviset hyökkäykset ja vaikutuspiirissä olevat järjestelmät
Tutkijat ovat vahvistaneet, että kyberrikolliset hyödyntävät aktiivisesti tätä haavoittuvuutta paikallisia SharePoint Server -instansseja vastaan. Mikä tärkeintä, SharePoint Online Microsoft 365:ssä ei ole muuttunut. Hyökkääjät hyödyntävät tapaa, jolla SharePoint käsittelee epäluotettavia objekteja deserialisoinnin aikana, jolloin he voivat suorittaa komentoja ennen käyttäjän todennusta. Järjestelmän sisällä hyökkääjät voivat luoda väärennettyjä hyötykuormia varastettujen laiteavainten avulla, mikä mahdollistaa sivuttaisen liikkumisen ja pysyvän pääsyn. Tämä tekee havaitsemisesta ja hillitsemisestä haastavaa, koska heidän toimintansa voi matkia laillista SharePoint-liikennettä.
Monimutkaiset hyökkäysketjut
Todisteet viittaavat siihen, että CVE-2025-53770-haavoittuvuutta käytetään muiden haavoittuvuuksien, kuten CVE-2025-49706:n (huijausvirhe, jonka CVSS-pistemäärä on 6,3) ja CVE-2025-49704:n, rinnalla muodostaen edistyneen hyväksikäyttöketjun, joka tunnetaan nimellä ToolShell. Hyökkääjät hyödyntävät CVE-2025-49706:ta toimittaakseen etäkoodin suoritushyötykuormia, jotka hyödyntävät CVE-2025-49704:ää. '_layouts/SignOut.aspx':n lisääminen HTTP-viittaajaksi muuttaa CVE-2025-49706:n muotoon CVE-2025-53770, mikä mahdollistaa virtaviivaisemman hyväksikäyttöprosessin.
Hyökkäykset sisältävät tyypillisesti PowerShellin kautta toimitettuja ASPX-hyötykuormia, joiden tavoitteena on varastaa palvelimen MachineKey-määritykset (ValidationKey ja DecryptionKey). Nämä avaimet ovat kriittisiä, koska niiden avulla hyökkääjät voivat luoda haitallisia __VIEWSTATE-hyötykuormia, jotka SharePoint hyväksyy kelvollisiksi, mikä muuntaa tehokkaasti minkä tahansa todennetun pyynnön etäkoodin suorittamismahdollisuudeksi.
Kompromissin laajuus
Tähän mennessä yli 85 SharePoint-palvelinta maailmanlaajuisesti on vaarantunut, mikä on vaikuttanut ainakin 29 organisaatioon, mukaan lukien monikansallisiin yrityksiin ja valtion virastoihin. Kun hyökkääjillä on kryptografiset avaimet hallussaan, korjaavista toimista tulee paljon monimutkaisempia. Vaikka tietoturvakorjaus olisi asennettu, varastetut avaimet voivat silti sallia hyökkääjien säilyttää pääsyn palvelimelle, ellei avaimia vaihdeta tai konfiguroida uudelleen manuaalisesti.
Lieventävät toimenpiteet
Kunnes virallinen korjaustiedosto tuli saataville, Microsoft kehotti organisaatioita ottamaan Antimalware Scan Interface (AMSI) -integraation käyttöön SharePointissa. Asiakkaille, jotka eivät pystyneet aktivoimaan AMSIa, suositeltiin vahvasti haavoittuvien SharePoint-palvelimien internetyhteyden katkaisemista.
Jatkuvien hyväksikäyttöraporttien jälkeen Microsoft on julkaissut korjauksia sekä CVE-2025-53770-haavoittuvuuteen että äskettäin löydettyyn CVE-2025-53771-haavoittuvuuteen suojatakseen haavoittuvia järjestelmiä.
CISA:n varoitus
Yhdysvaltain kyberturvallisuus- ja infrastruktuuriturvallisuusvirasto (CISA) on antanut varoituksen, joka vahvistaa CVE-2025-53770-haavoittuvuuden aktiivisen hyödyntämisen. Tämä haavoittuvuus mahdollistaa hyökkääjien todentamattoman koodin suorittamisen etänä verkon kautta, mikä aiheuttaa vakavan uhan kaikille korjaamattomille SharePoint-ympäristöille.
