CVE-2025-53770 Zero-day ranjivost
Ozbiljna sigurnosna mana u Microsoft SharePoint Serveru postala je središte tekuće, velike kampanje kibernetičkih napada. Praćena kao CVE-2025-53770 s CVSS ocjenom 9,8, ova ranjivost klasificirana je kao zero-day i usko je povezana s CVE-2025-49704 (CVSS 8.8), greškom ubrizgavanja koda i udaljenog izvršavanja koda koja je ispravljena tijekom Microsoftovih ažuriranja Patch Tuesday u srpnju 2025. Mana proizlazi iz deserijalizacije nepouzdanih podataka, što napadačima omogućuje izvršavanje zlonamjernog koda na daljinu i bez odgovarajućeg ovlaštenja.
Sadržaj
Aktivni napadi i pogođeni sustavi
Istraživači su potvrdili da kibernetički kriminalci aktivno iskorištavaju ovu ranjivost protiv lokalnih instanci SharePoint Servera. Važno je napomenuti da SharePoint Online u sustavu Microsoft 365 ostaje nepromijenjen. Napadači iskorištavaju način na koji SharePoint rukuje nepouzdanim objektima tijekom deserijalizacije, što im omogućuje izvršavanje naredbi prije autentifikacije korisnika. Jednom kada uđu u sustav, napadači mogu generirati krivotvorene podatke pomoću ukradenih ključeva računala, omogućujući lateralno kretanje i trajni pristup. To otežava otkrivanje i ublažavanje rizika, jer njihova aktivnost može oponašati legitimni SharePoint promet.
Složeni lanci iskorištavanja
Dokazi upućuju na to da se CVE-2025-53770 koristi uz druge nedostatke, uključujući CVE-2025-49706 (bak lažiranja s CVSS ocjenom 6,3) i CVE-2025-49704, kako bi se formirao napredni lanac iskorištavanja poznat kao ToolShell. Napadači koriste CVE-2025-49706 za isporuku podataka za udaljeno izvršavanje koda koji iskorištavaju CVE-2025-49704. Dodavanje '_layouts/SignOut.aspx' kao HTTP reference navodno transformira CVE-2025-49706 u CVE-2025-53770, omogućujući pojednostavljeniji proces iskorištavanja.
Napadi obično uključuju ASPX korisne sadržaje isporučene putem PowerShella, s ciljem krađe konfiguracije MachineKey poslužitelja (ValidationKey i DecryptionKey). Ovi ključevi su ključni jer omogućuju napadačima izradu zlonamjernih korisnih sadržaja __VIEWSTATE koje će SharePoint prihvatiti kao valjane, učinkovito pretvarajući svaki autentificirani zahtjev u priliku za udaljeno izvršavanje koda.
Razmjeri kompromisa
Do sada je kompromitirano više od 85 SharePoint poslužitelja diljem svijeta, što je utjecalo na najmanje 29 organizacija, uključujući multinacionalne korporacije i vladine agencije. Nakon što napadači dobiju kriptografske ključeve, sanacija postaje mnogo složenija. Čak i nakon primjene sigurnosne zakrpe, ukradeni ključevi i dalje mogu omogućiti napadačima održavanje pristupa osim ako se ti ključevi ručno ne rotiraju ili rekonfiguriraju.
Mjere ublažavanja
Dok nije postala dostupna službena zakrpa, Microsoft je savjetovao organizacijama da omoguće integraciju Antimalware Scan Interface (AMSI) u SharePointu. Za korisnike koji ne mogu aktivirati AMSI, toplo se preporučuje isključivanje ranjivih SharePoint poslužitelja s interneta.
Nakon izvješća o stalnim zloupotrebama, Microsoft je izdao zakrpe za CVE-2025-53770 i novootkrivenu manu, CVE-2025-53771, kako bi zaštitio ranjive sustave.
Upozorenje CISA-e
Američka agencija za kibernetičku sigurnost i sigurnost infrastrukture (CISA) izdala je upozorenje kojim potvrđuje aktivno iskorištavanje ranjivosti CVE-2025-53770. Ova ranjivost omogućuje napadačima neovlašteno, udaljeno izvršavanje koda putem mreže, što predstavlja ozbiljnu prijetnju svakom nezakrpanom SharePoint okruženju.
