CVE-2025-53770 Kerentanan Sifar Hari
Kepincangan keselamatan yang teruk dalam Microsoft SharePoint Server telah menjadi tumpuan kempen serangan siber berskala besar yang berterusan. Dijejaki sebagai CVE-2025-53770 dengan skor CVSS 9.8, kerentanan ini diklasifikasikan sebagai sifar hari dan berkait rapat dengan CVE-2025-49704 (CVSS 8.8), suntikan kod dan pepijat pelaksanaan kod jauh yang ditangani semasa kemas kini Microsoft Patch Selasa Julai 2025. Cacat ini berpunca daripada penyahserialisasian data yang tidak dipercayai, yang membolehkan penyerang melaksanakan kod hasad dari jauh dan tanpa kebenaran yang sewajarnya.
Isi kandungan
Serangan Aktif dan Sistem Impak
Penyelidik telah mengesahkan bahawa penjenayah siber secara aktif mengeksploitasi kerentanan ini terhadap kejadian SharePoint Server di premis. Yang penting, SharePoint Online dalam Microsoft 365 kekal tidak terjejas. Penyerang mengeksploitasi cara SharePoint mengendalikan objek yang tidak dipercayai semasa penyahserikatan, memberikan mereka keupayaan untuk melaksanakan arahan sebelum pengesahan pengguna. Apabila berada di dalam sistem, penyerang boleh menjana muatan palsu menggunakan kekunci mesin yang dicuri, membolehkan pergerakan sisi dan akses berterusan. Ini menjadikan pengesanan dan mitigasi mencabar, kerana aktiviti mereka boleh meniru trafik SharePoint yang sah.
Rantaian Eksploitasi Kompleks
Bukti menunjukkan bahawa CVE-2025-53770 sedang digunakan bersama kelemahan lain, termasuk CVE-2025-49706 (pepijat spoofing dengan skor CVSS 6.3) dan CVE-2025-49704, untuk membentuk rantai eksploitasi lanjutan yang dikenali sebagai ToolShell. Penyerang memanfaatkan CVE-2025-49706 untuk menyampaikan muatan pelaksanaan kod jauh yang mengeksploitasi CVE-2025-49704. Menambah '_layouts/SignOut.aspx' sebagai perujuk HTTP dilaporkan mengubah CVE-2025-49706 kepada CVE-2025-53770, membolehkan proses eksploitasi yang lebih diperkemas.
Serangan biasanya melibatkan muatan ASPX yang dihantar melalui PowerShell, dengan matlamat untuk mencuri konfigurasi MachineKey pelayan (ValidationKey dan DecryptionKey). Kekunci ini penting kerana ia membenarkan penyerang mencipta muatan __VIEWSTATE berniat jahat yang SharePoint akan terima sebagai sah, dengan berkesan mengubah sebarang permintaan yang disahkan menjadi peluang pelaksanaan kod jauh.
Skala Kompromi
Setakat ini, lebih daripada 85 pelayan SharePoint di seluruh dunia telah terjejas, memberi kesan kepada sekurang-kurangnya 29 organisasi, termasuk syarikat multinasional dan agensi kerajaan. Sebaik sahaja penyerang mempunyai kunci kriptografi, pemulihan menjadi jauh lebih rumit. Walaupun selepas menggunakan tampung keselamatan, kunci yang dicuri masih membenarkan penyerang mengekalkan akses melainkan kunci tersebut diputar atau dikonfigurasikan semula secara manual.
Langkah-langkah Mitigasi
Sehingga tampung rasmi tersedia, Microsoft menasihatkan organisasi untuk mendayakan penyepaduan Antara Muka Imbasan Antimalware (AMSI) dalam SharePoint. Bagi pelanggan yang tidak dapat mengaktifkan AMSI, memutuskan sambungan Pelayan SharePoint yang terdedah daripada Internet adalah amat disyorkan.
Berikutan laporan eksploitasi yang berterusan, Microsoft telah mengeluarkan patch untuk kedua-dua CVE-2025-53770 dan kecacatan yang baru ditemui, CVE-2025-53771, untuk melindungi sistem yang terdedah.
Amaran CISA
Agensi Keselamatan Siber dan Infrastruktur AS (CISA) telah mengeluarkan amaran yang mengesahkan eksploitasi aktif CVE-2025-53770. Kerentanan ini membolehkan penyerang mencapai pelaksanaan kod jauh yang tidak disahkan melalui rangkaian, menimbulkan ancaman teruk kepada mana-mana persekitaran SharePoint yang tidak ditambal.
