פגיעות אפס-יום CVE-2025-53770
פרצת אבטחה חמורה בשרת Microsoft SharePoint הפכה למוקד של קמפיין מתקפות סייבר מתמשך בקנה מידה גדול. פגיעות זו, המסומנת כ-CVE-2025-53770 עם ציון CVSS של 9.8, מסווגת כ-zero-day וקשורה קשר הדוק ל-CVE-2025-49704 (CVSS 8.8), באג של הזרקת קוד וביצוע קוד מרחוק שטופל במהלך עדכוני Patch Tuesday של מיקרוסופט ביולי 2025. הפגם נובע מביטול סידור של נתונים לא מהימנים, המאפשרים לתוקפים לבצע קוד זדוני מרחוק וללא אישור מתאים.
תוכן העניינים
התקפות פעילות ומערכות שנפגעו
חוקרים אישרו כי פושעי סייבר מנצלים באופן פעיל את הפגיעות הזו כנגד מופעי SharePoint Server מקומיים. חשוב לציין, SharePoint Online ב-Microsoft 365 נותר ללא שינוי. התוקפים מנצלים את האופן שבו SharePoint מטפל באובייקטים לא מהימנים במהלך ביטול סידור, ומעניקים להם את היכולת לבצע פקודות לפני אימות המשתמש. לאחר שנכנסים לתוך המערכת, התוקפים יכולים ליצור מטענים מזויפים באמצעות מפתחות מכונה גנובים, מה שמאפשר תנועה רוחבית וגישה מתמשכת. זה הופך את הזיהוי והטיפול למאתגרים, מכיוון שפעילותם יכולה לחקות תעבורה לגיטימית של SharePoint.
שרשראות ניצול מורכבות
ראיות מצביעות על כך ש-CVE-2025-53770 משמש לצד פגמים אחרים, כולל CVE-2025-49706 (באג זיוף עם ציון CVSS של 6.3) ו-CVE-2025-49704, ליצירת שרשרת פרצות מתקדמת המכונה ToolShell. תוקפים מנצלים את CVE-2025-49706 כדי לספק עומסי ביצוע קוד מרחוק המנצלים את CVE-2025-49704. הוספת '_layouts/SignOut.aspx' כמפנה HTTP, על פי הדיווחים, הופכת את CVE-2025-49706 ל-CVE-2025-53770, מה שמאפשר תהליך ניצול יעיל יותר.
ההתקפות כוללות בדרך כלל מטענים של ASPX המועברים דרך PowerShell, במטרה לגנוב את תצורת MachineKey של השרת (ValidationKey ו-DecryptionKey). מפתחות אלה קריטיים משום שהם מאפשרים לתוקפים ליצור מטענים זדוניים מסוג __VIEWSTATE ש-SharePoint יקבל כתקפים, ובכך למעשה להפוך כל בקשה מאומתת להזדמנות לביצוע קוד מרחוק.
קנה המידה של הפשרה
עד כה, יותר מ-85 שרתי SharePoint ברחבי העולם נפגעו, מה שפגע בלפחות 29 ארגונים, כולל תאגידים רב-לאומיים וסוכנויות ממשלתיות. ברגע שהתוקפים מחזיקים במפתחות הקריפטוגרפיים, תהליך התיקון הופך למסובך הרבה יותר. גם לאחר החלת תיקון אבטחה, מפתחות גנובים עדיין עשויים לאפשר לתוקפים לשמור על גישה אלא אם כן מפתחות אלה מסובבים או מוגדרים מחדש באופן ידני.
אמצעי הפחתה
עד שיהיה זמין תיקון רשמי, מיקרוסופט ייעצה לארגונים לאפשר שילוב של ממשק סריקת תוכנות זדוניות (AMSI) ב-SharePoint. עבור לקוחות שאינם מצליחים להפעיל את AMSI, מומלץ מאוד לנתק שרתי SharePoint פגיעים מהאינטרנט.
בעקבות דיווחים מתמשכים על ניצול לרעה, מיקרוסופט פרסמה תיקונים עבור פגם CVE-2025-53770 וגם עבור פגם חדש, CVE-2025-53771, כדי להגן על מערכות פגיעות.
אזהרת CISA
סוכנות אבטחת הסייבר והתשתיות של ארה"ב (CISA) פרסמה התראה המאשרת ניצול פעיל של CVE-2025-53770. פגיעות זו מאפשרת לתוקפים לבצע ביצוע קוד מרחוק ולא מאומת דרך הרשת, ומהווה איום חמור על כל סביבת SharePoint שלא עברה עדכון.
