CVE-2025-53770 Luka typu zero-day
Poważna luka w zabezpieczeniach programu Microsoft SharePoint Server stała się celem trwającej, zakrojonej na szeroką skalę kampanii cyberataków. Luka oznaczona jako CVE-2025-53770 z wynikiem CVSS 9,8, została sklasyfikowana jako luka typu zero-day i jest blisko powiązana z luką CVE-2025-49704 (CVSS 8.8), umożliwiającą wstrzyknięcie kodu i zdalne wykonanie kodu, naprawioną w ramach aktualizacji Microsoft Patch Tuesday z lipca 2025 roku. Luka wynika z deserializacji niezaufanych danych, co pozwala atakującym na zdalne wykonywanie złośliwego kodu bez odpowiedniego upoważnienia.
Spis treści
Aktywne ataki i systemy dotknięte atakiem
Badacze potwierdzili, że cyberprzestępcy aktywnie wykorzystują tę lukę w lokalnych instancjach programu SharePoint Server. Co ważne, usługa SharePoint Online w usłudze Microsoft 365 pozostaje nienaruszona. Atakujący wykorzystują sposób, w jaki program SharePoint obsługuje niezaufane obiekty podczas deserializacji, co daje im możliwość wykonywania poleceń przed uwierzytelnieniem użytkownika. Po wniknięciu do systemu atakujący mogą generować sfałszowane ładunki, wykorzystując skradzione klucze maszynowe, umożliwiając im przemieszczanie się w poziomie i trwały dostęp. Utrudnia to wykrywanie i ograniczanie zagrożeń, ponieważ ich aktywność może imitować legalny ruch w programie SharePoint.
Złożone łańcuchy eksploatacji
Dowody wskazują, że luka CVE-2025-53770 jest używana wraz z innymi lukami, w tym CVE-2025-49706 (błędem spoofingowym z wynikiem CVSS 6,3) i CVE-2025-49704, tworząc zaawansowany łańcuch exploitów znany jako ToolShell. Atakujący wykorzystują lukę CVE-2025-49706 do dostarczania ładunków umożliwiających zdalne wykonanie kodu, które wykorzystują lukę CVE-2025-49704. Dodanie „_layouts/SignOut.aspx” jako referera HTTP podobno przekształca lukę CVE-2025-49706 w CVE-2025-53770, umożliwiając bardziej usprawniony proces eksploatacji.
Ataki zazwyczaj obejmują ładunki ASPX dostarczane za pośrednictwem programu PowerShell, których celem jest kradzież konfiguracji MachineKey serwera (ValidationKey i DecryptionKey). Klucze te są kluczowe, ponieważ pozwalają atakującym tworzyć złośliwe ładunki __VIEWSTATE, które program SharePoint zaakceptuje jako prawidłowe, skutecznie przekształcając każde uwierzytelnione żądanie w okazję do zdalnego wykonania kodu.
Skala kompromisu
Do tej pory na całym świecie naruszono ponad 85 serwerów SharePoint, co wpłynęło na co najmniej 29 organizacji, w tym korporacje międzynarodowe i agencje rządowe. Po zdobyciu kluczy kryptograficznych przez atakujących, naprawa staje się znacznie bardziej skomplikowana. Nawet po zastosowaniu poprawki zabezpieczeń, skradzione klucze mogą nadal umożliwiać atakującym utrzymanie dostępu, chyba że zostaną one ręcznie zmienione lub skonfigurowane.
Środki łagodzące
Do czasu udostępnienia oficjalnej poprawki Microsoft zalecał organizacjom włączenie integracji interfejsu skanowania antymalware (AMSI) w programie SharePoint. Klientom, którzy nie mogą aktywować interfejsu AMSI, zdecydowanie zalecano odłączenie podatnych na ataki serwerów SharePoint od internetu.
W odpowiedzi na ciągłe doniesienia o wykorzystaniu luk firma Microsoft wydała poprawki dla luki CVE-2025-53770 oraz nowo odkrytej luki CVE-2025-53771, aby chronić podatne na ataki systemy.
Ostrzeżenie CISA
Amerykańska Agencja ds. Cyberbezpieczeństwa i Infrastruktury Bezpieczeństwa (CISA) wydała alert potwierdzający aktywną eksploatację luki CVE-2025-53770. Luka ta umożliwia atakującym zdalne wykonanie kodu bez uwierzytelnienia przez sieć, co stanowi poważne zagrożenie dla każdego niezałatanego środowiska SharePoint.
