CVE-2025-53770 Nulladik napi sebezhetőség
A Microsoft SharePoint Server egy súlyos biztonsági hibája egy folyamatban lévő, nagyszabású kibertámadási kampány célpontjává vált. A CVE-2025-53770 azonosítójú, 9,8-as CVSS-pontszámmal rendelkező sebezhetőséget nulladik napi besorolásúnak minősítették, és szorosan kapcsolódik a CVE-2025-49704 (CVSS 8.8) kódbefecskendezési és távoli kódfuttatási hibához, amelyet a Microsoft 2025. júliusi Patch Tuesday frissítései során javított. A hiba a nem megbízható adatok deszerializálásából ered, amely lehetővé teszi a támadók számára, hogy távolról és megfelelő engedély nélkül futtassanak rosszindulatú kódot.
Tartalomjegyzék
Aktív támadások és érintett rendszerek
A kutatók megerősítették, hogy a kiberbűnözők aktívan kihasználják ezt a sebezhetőséget a helyszíni SharePoint Server-példányok ellen. Fontos, hogy a Microsoft 365-ben található SharePoint Online változatlan marad. A támadók kihasználják, hogy a SharePoint hogyan kezeli a nem megbízható objektumokat a deszerializálás során, lehetővé téve számukra, hogy parancsokat hajtsanak végre a felhasználói hitelesítés előtt. A rendszerbe jutás után a támadók hamisított hasznos adatokat hozhatnak létre lopott gépi kulcsok segítségével, lehetővé téve az oldalirányú mozgást és az állandó hozzáférést. Ez megnehezíti az észlelést és a elhárítást, mivel tevékenységük utánozhatja a legitim SharePoint-forgalmat.
Komplex kihasználási láncok
A bizonyítékok arra utalnak, hogy a CVE-2025-53770 sérülékenységet más hibákkal együtt használják, beleértve a CVE-2025-49706-ot (egy 6,3-as CVSS pontszámú hamisítási hiba) és a CVE-2025-49704-et, egy fejlett exploit lánc, a ToolShell létrehozására. A támadók a CVE-2025-49706 sérülékenységet használják fel távoli kódfuttatási hasznoscsomagok küldésére, amelyek kihasználják a CVE-2025-49704 sérülékenységet. A '_layouts/SignOut.aspx' HTTP-hivatkozó hozzáadása állítólag a CVE-2025-49706-ot CVE-2025-53770-né alakítja, lehetővé téve a gördülékenyebb kihasználási folyamatot.
A támadások jellemzően PowerShellen keresztül kézbesített ASPX hasznos adatokat tartalmaznak, azzal a céllal, hogy ellopják a szerver MachineKey konfigurációját (ValidationKey és DecryptionKey). Ezek a kulcsok kritikus fontosságúak, mivel lehetővé teszik a támadók számára, hogy rosszindulatú __VIEWSTATE hasznos adatokat hozzanak létre, amelyeket a SharePoint érvényesként fogad el, így gyakorlatilag bármilyen hitelesített kérést távoli kódfuttatási lehetőséggé alakítva.
A kompromisszum mértéke
Eddig világszerte több mint 85 SharePoint-szervert támadtak meg, ami legalább 29 szervezetet, köztük multinacionális vállalatokat és kormányzati szerveket érint. Miután a támadók megszerezték a kriptográfiai kulcsokat, a helyreállítás sokkal bonyolultabbá válik. Még egy biztonsági javítás telepítése után is az ellopott kulcsok lehetővé tehetik a támadók számára a hozzáférés fenntartását, kivéve, ha ezeket a kulcsokat manuálisan lecserélik vagy újrakonfigurálják.
Enyhítő intézkedések
Amíg hivatalos javítás nem jelent meg, a Microsoft azt javasolta a szervezeteknek, hogy engedélyezzék az Antimalware Scan Interface (AMSI) integrációját a SharePointben. Azoknak az ügyfeleknek, akik nem tudták aktiválni az AMSI-t, határozottan ajánlott volt a sebezhető SharePoint-kiszolgálók internetkapcsolatának megszakítása.
A folyamatos támadási jelentéseket követően a Microsoft kiadott javításokat mind a CVE-2025-53770, mind az újonnan felfedezett CVE-2025-53771 hiba ellen a sebezhető rendszerek védelme érdekében.
A CISA figyelmeztetése
Az Egyesült Államok Kiberbiztonsági és Infrastruktúra-Biztonsági Ügynöksége (CISA) riasztást adott ki, megerősítve a CVE-2025-53770 sebezhetőség aktív kihasználását. Ez a sebezhetőség lehetővé teszi a támadók számára, hogy hitelesítetlen, távoli kódfuttatást érjenek el a hálózaton keresztül, ami komoly fenyegetést jelent minden nem frissített SharePoint környezetre.
