CVE-2025-53770 Nulles dienas ievainojamība
Nopietna drošības nepilnība Microsoft SharePoint Server vidē ir kļuvusi par plaša mēroga kiberuzbrukumu kampaņas uzmanības centru. Šī ievainojamība, kas identificēta kā CVE-2025-53770 ar CVSS vērtējumu 9,8, ir klasificēta kā nulles dienas ievainojamība un ir cieši saistīta ar CVE-2025-49704 (CVSS 8.8) — koda injekcijas un attālinātas koda izpildes kļūdu, kas tika novērsta Microsoft 2025. gada jūlija otrdienas ielāpu atjauninājumos. Trūkums rodas neuzticamu datu deserializācijas dēļ, kas ļauj uzbrucējiem attālināti un bez atbilstošas atļaujas izpildīt ļaunprātīgu kodu.
Satura rādītājs
Aktīvi uzbrukumi un ietekmētās sistēmas
Pētnieki ir apstiprinājuši, ka kibernoziedznieki aktīvi izmanto šo ievainojamību pret lokālajām SharePoint Server instancēm. Svarīgi ir tas, ka SharePoint Online pakalpojumā Microsoft 365 paliek neskarts. Uzbrucēji izmanto to, kā SharePoint deserializācijas laikā apstrādā neuzticamus objektus, piešķirot tiem iespēju izpildīt komandas pirms lietotāja autentifikācijas. Nonākot sistēmā, uzbrucēji var ģenerēt viltotus vērtumus, izmantojot nozagtas datora atslēgas, nodrošinot sānu kustību un pastāvīgu piekļuvi. Tas apgrūtina atklāšanu un mazināšanu, jo viņu darbība var atdarināt likumīgu SharePoint datplūsmu.
Sarežģītas ekspluatācijas ķēdes
Pierādījumi liecina, ka CVE-2025-53770 tiek izmantots kopā ar citiem trūkumiem, tostarp CVE-2025-49706 (viltošanas kļūda ar CVSS vērtējumu 6,3) un CVE-2025-49704, lai izveidotu uzlabotu ekspluatācijas ķēdi, kas pazīstama kā ToolShell. Uzbrucēji izmanto CVE-2025-49706, lai piegādātu attālinātas koda izpildes vērtumus, kas izmanto CVE-2025-49704. Pievienojot '_layouts/SignOut.aspx' kā HTTP atsauci, tiek ziņots, ka CVE-2025-49706 tiek pārveidots par CVE-2025-53770, nodrošinot racionalizētāku ekspluatācijas procesu.
Uzbrukumos parasti tiek iesaistītas ASPX vērtslodzes, kas piegādātas, izmantojot PowerShell, ar mērķi nozagt servera MachineKey konfigurāciju (ValidationKey un DecryptionKey). Šīs atslēgas ir kritiski svarīgas, jo tās ļauj uzbrucējiem izveidot ļaunprātīgas __VIEWSTATE vērtslodzes, kuras SharePoint pieņems kā derīgas, efektīvi pārvēršot jebkuru autentificētu pieprasījumu attālinātas koda izpildes iespējā.
Kompromisa mērogs
Līdz šim ir apdraudēti vairāk nekā 85 SharePoint serveri visā pasaulē, ietekmējot vismaz 29 organizācijas, tostarp starptautiskus uzņēmumus un valdības aģentūras. Kad uzbrucēji ir ieguvuši kriptogrāfiskās atslēgas, novēršana kļūst daudz sarežģītāka. Pat pēc drošības ielāpa ieviešanas nozagtas atslēgas joprojām var ļaut uzbrucējiem saglabāt piekļuvi, ja vien šīs atslēgas netiek manuāli mainītas vai pārkonfigurētas.
Riska mazināšanas pasākumi
Līdz brīdim, kad kļuva pieejams oficiāls ielāps, Microsoft ieteica organizācijām iespējot antimalware skenēšanas saskarnes (AMSI) integrāciju pakalpojumā SharePoint. Klientiem, kuri nevarēja aktivizēt AMSI, tika stingri ieteicams atvienot neaizsargātus SharePoint serverus no interneta.
Pēc nepārtrauktiem ziņojumiem par ievainojamību Microsoft ir izlaidis ielāpus gan CVE-2025-53770, gan jaunatklātam trūkumam CVE-2025-53771, lai aizsargātu neaizsargātas sistēmas.
CISA brīdinājums
ASV Kiberdrošības un infrastruktūras drošības aģentūra (CISA) ir izdevusi brīdinājumu, kas apstiprina CVE-2025-53770 aktīvu izmantošanu. Šī ievainojamība ļauj uzbrucējiem panākt neautentificētu, attālinātu koda izpildi tīklā, radot nopietnus draudus jebkurai neaizlāpotai SharePoint videi.
