CVE-2025-53770 Nulinės dienos pažeidžiamumas
Rimta „Microsoft SharePoint Server“ saugumo spraga tapo tebesitęsiančios didelio masto kibernetinės atakos kampanijos taikiniu. Ši pažeidžiamumas, identifikuotas kaip CVE-2025-53770 ir įvertintas 9,8 CVSS balu, priskiriamas nulinės dienos pažeidžiamumui ir yra glaudžiai susijęs su CVE-2025-49704 (CVSS 8.8) – kodo įterpimo ir nuotolinio kodo vykdymo klaida, kuri buvo išspręsta „Microsoft“ 2025 m. liepos mėn. pataisų antradienio atnaujinimuose. Ši spraga kyla dėl nepatikimų duomenų deserializavimo, kuris leidžia užpuolikams nuotoliniu būdu ir be tinkamo leidimo vykdyti kenkėjišką kodą.
Turinys
Aktyvios atakos ir paveiktos sistemos
Tyrėjai patvirtino, kad kibernetiniai nusikaltėliai aktyviai išnaudoja šią pažeidžiamumą prieš vietinius „SharePoint Server“ egzempliorius. Svarbu tai, kad „SharePoint Online“ iš „Microsoft 365“ lieka nepaveikta. Užpuolikai išnaudoja tai, kaip „SharePoint“ tvarko nepatikimus objektus deserializacijos metu, suteikdami jiems galimybę vykdyti komandas prieš vartotojo autentifikavimą. Patekę į sistemą, užpuolikai gali generuoti suklastotus paketus naudodami pavogtus kompiuterio raktus, taip įgalindami šoninį judėjimą ir nuolatinę prieigą. Dėl to sunku aptikti ir sušvelninti pažeidžiamumą, nes jų veikla gali imituoti teisėtą „SharePoint“ srautą.
Sudėtingos išnaudojimo grandinės
Įrodymai rodo, kad CVE-2025-53770 yra naudojamas kartu su kitais trūkumais, įskaitant CVE-2025-49706 (apgaulinga klaida, kurios CVSS įvertinimas yra 6,3) ir CVE-2025-49704, siekiant sukurti pažangią spragų grandinę, vadinamą „ToolShell“. Užpuolikai naudoja CVE-2025-49706, kad pateiktų nuotolinio kodo vykdymo paketus, kurie išnaudoja CVE-2025-49704. Pranešama, kad pridėjus „_layouts/SignOut.aspx“ kaip HTTP nuorodą, CVE-2025-49706 transformuojamas į CVE-2025-53770, taip supaprastinant spragų išnaudojimo procesą.
Paprastai atakos apima ASPX paketus, pristatomus per „PowerShell“, siekiant pavogti serverio „MachineKey“ konfigūraciją („ValidationKey“ ir „DecryptionKey“). Šie raktai yra labai svarbūs, nes leidžia užpuolikams sukurti kenkėjiškus __VIEWSTATE paketus, kuriuos „SharePoint“ priims kaip galiojančius, taip bet kokį autentifikuotą užklausą paversdamas nuotolinio kodo vykdymo galimybe.
Kompromiso mastas
Iki šiol buvo pažeisti daugiau nei 85 „SharePoint“ serveriai visame pasaulyje, o tai paveikė mažiausiai 29 organizacijas, įskaitant tarptautines korporacijas ir vyriausybines agentūras. Kai užpuolikai gauna kriptografinius raktus, taisomosios priemonės tampa daug sudėtingesnės. Net ir pritaikius saugos pataisą, pavogti raktai vis tiek gali leisti užpuolikams išlaikyti prieigą, nebent tie raktai būtų rankiniu būdu pakeisti arba perkonfigūruoti.
Švelninimo priemonės
Kol nebuvo išleistas oficialus pataisymas, „Microsoft“ patarė organizacijoms įjungti kenkėjiškų programų nuskaitymo sąsajos (AMSI) integraciją „SharePoint“ programoje. Klientams, kurie negalėjo suaktyvinti AMSI, primygtinai rekomenduojama atjungti pažeidžiamus „SharePoint“ serverius nuo interneto.
Po nuolatinių pranešimų apie pažeidžiamumą „Microsoft“ išleido pataisas, skirtas apsaugoti pažeidžiamas sistemas, skirtas CVE-2025-53770 ir naujai atrastam trūkumui CVE-2025-53771.
CISA įspėjimas
JAV kibernetinio saugumo ir infrastruktūros saugumo agentūra (CISA) paskelbė įspėjimą, patvirtinantį aktyvų CVE-2025-53770 pažeidžiamumo išnaudojimą. Šis pažeidžiamumas leidžia užpuolikams nuotoliniu būdu vykdyti neautentifikuotą kodą tinkle, keldamas rimtą grėsmę bet kokiai netaisytai „SharePoint“ aplinkai.
