CVE-2025-53770 Nulldagssårbarhet
En alvorlig sikkerhetsfeil i Microsoft SharePoint Server har blitt fokus for en pågående, storstilt cyberangrepskampanje. Denne sårbarheten, sporet som CVE-2025-53770 med en CVSS-poengsum på 9,8, er klassifisert som en nulldagsfeil og er nært knyttet til CVE-2025-49704 (CVSS 8.8), en kodeinjeksjons- og ekstern kodekjøringsfeil som ble adressert under Microsofts Patch Tuesday-oppdateringer i juli 2025. Feilen stammer fra deserialisering av uklarerte data, som lar angripere kjøre ondsinnet kode eksternt og uten riktig autorisasjon.
Innholdsfortegnelse
Aktive angrep og påvirkede systemer
Forskere har bekreftet at nettkriminelle aktivt utnytter dette sikkerhetsproblemet mot lokale SharePoint Server-forekomster. Det er viktig å merke seg at SharePoint Online i Microsoft 365 forblir upåvirket. Angriperne utnytter måten SharePoint håndterer uklarerte objekter på under deserialisering, noe som gir dem muligheten til å utføre kommandoer før brukergodkjenning. Når angriperne er inne i systemet, kan de generere forfalskede nyttelaster ved hjelp av stjålne maskinnøkler, noe som muliggjør sideveis bevegelse og vedvarende tilgang. Dette gjør deteksjon og tiltaksreduksjon utfordrende, ettersom aktiviteten deres kan etterligne legitim SharePoint-trafikk.
Komplekse utnyttelseskjeder
Bevis tyder på at CVE-2025-53770 brukes sammen med andre feil, inkludert CVE-2025-49706 (en forfalskningsfeil med en CVSS-poengsum på 6,3) og CVE-2025-49704, for å danne en avansert angrepskjede kjent som ToolShell. Angripere utnytter CVE-2025-49706 til å levere nyttelaster for ekstern kodekjøring som utnytter CVE-2025-49704. Å legge til '_layouts/SignOut.aspx' som HTTP-referansen skal angivelig transformere CVE-2025-49706 til CVE-2025-53770, noe som muliggjør en mer strømlinjeformet angrepsprosess.
Angrepene involverer vanligvis ASPX-nyttelaster levert via PowerShell, med mål om å stjele serverens MachineKey-konfigurasjon (ValidationKey og DecryptionKey). Disse nøklene er kritiske fordi de lar angripere lage ondsinnede __VIEWSTATE-nyttelaster som SharePoint vil godta som gyldige, og dermed effektivt gjøre enhver autentisert forespørsel om til en mulighet for ekstern kodekjøring.
Omfanget av kompromiss
Så langt har mer enn 85 SharePoint-servere over hele verden blitt kompromittert, noe som påvirker minst 29 organisasjoner, inkludert multinasjonale selskaper og offentlige etater. Når angriperne har fått de kryptografiske nøklene, blir utbedring mye mer komplisert. Selv etter å ha installert en sikkerhetsoppdatering, kan stjålne nøkler fortsatt gi angripere tilgang med mindre disse nøklene roteres manuelt eller konfigureres på nytt.
Avbøtende tiltak
Inntil en offisiell oppdatering ble tilgjengelig, anbefalte Microsoft organisasjoner å aktivere integrering av Antimalware Scan Interface (AMSI) i SharePoint. For kunder som ikke kan aktivere AMSI, anbefales det sterkt å koble sårbare SharePoint-servere fra internett.
Etter pågående rapporter om utnyttelse har Microsoft gitt ut oppdateringer for både CVE-2025-53770 og en nylig oppdaget feil, CVE-2025-53771, for å beskytte sårbare systemer.
CISAs advarsel
Det amerikanske byrået for cybersikkerhet og infrastruktursikkerhet (CISA) har utstedt et varsel som bekrefter aktiv utnyttelse av CVE-2025-53770. Dette sikkerhetsproblemet lar angripere utføre uautorisert, ekstern kodekjøring over nettverket, noe som utgjør en alvorlig trussel mot ethvert uoppdatert SharePoint-miljø.
