Vulnerabilitate zero-day CVE-2025-53770
O vulnerabilitate gravă de securitate în Microsoft SharePoint Server a devenit subiectul unei campanii de atacuri cibernetice la scară largă, în curs de desfășurare. Identificată ca fiind CVE-2025-53770 cu un scor CVSS de 9,8, această vulnerabilitate este clasificată drept zero-day și este strâns legată de CVE-2025-49704 (CVSS 8.8), o eroare de injecție de cod și execuție de cod la distanță abordată în timpul actualizărilor Microsoft Patch Tuesday din iulie 2025. Defectul provine din deserializarea datelor neîncrezătoare, ceea ce permite atacatorilor să execute cod rău intenționat de la distanță și fără autorizarea corespunzătoare.
Cuprins
Atacuri active și sisteme afectate
Cercetătorii au confirmat că infractorii cibernetici exploatează în mod activ această vulnerabilitate împotriva instanțelor locale de SharePoint Server. Este important de menționat că SharePoint Online în Microsoft 365 rămâne neafectat. Atacatorii exploatează modul în care SharePoint gestionează obiectele neîncrezătoare în timpul deserializării, oferindu-le posibilitatea de a executa comenzi înainte de autentificarea utilizatorului. Odată ajunși în sistem, atacatorii pot genera sarcini falsificate folosind chei de mașină furate, permițând mișcarea laterală și accesul persistent. Acest lucru face ca detectarea și atenuarea să fie dificile, deoarece activitatea lor poate imita traficul legitim SharePoint.
Lanțuri complexe de exploatare
Dovezile sugerează că CVE-2025-53770 este utilizat alături de alte defecte, inclusiv CVE-2025-49706 (o eroare de spoofing cu un scor CVSS de 6,3) și CVE-2025-49704, pentru a forma un lanț avansat de exploatare cunoscut sub numele de ToolShell. Atacatorii utilizează CVE-2025-49706 pentru a livra sarcini utile de execuție de cod la distanță care exploatează CVE-2025-49704. Adăugarea de „_layouts/SignOut.aspx” ca referer HTTP transformă, se pare, CVE-2025-49706 în CVE-2025-53770, permițând un proces de exploatare mai eficient.
Atacurile implică de obicei sarcini utile ASPX livrate prin PowerShell, cu scopul de a fura configurația MachineKey a serverului (ValidationKey și DecryptionKey). Aceste chei sunt esențiale deoarece permit atacatorilor să creeze sarcini utile __VIEWSTATE rău intenționate pe care SharePoint le va accepta ca fiind valide, transformând efectiv orice solicitare autentificată într-o oportunitate de execuție de cod la distanță.
Scara compromisului
Până în prezent, peste 85 de servere SharePoint din întreaga lume au fost compromise, afectând cel puțin 29 de organizații, inclusiv corporații multinaționale și agenții guvernamentale. Odată ce atacatorii obțin cheile criptografice, remedierea devine mult mai complicată. Chiar și după aplicarea unui patch de securitate, cheile furate pot permite în continuare atacatorilor să mențină accesul, cu excepția cazului în care aceste chei sunt rotite sau reconfigurate manual.
Măsuri de atenuare
Până când a devenit disponibil un patch oficial, Microsoft a sfătuit organizațiile să activeze integrarea Antimalware Scan Interface (AMSI) în SharePoint. Pentru clienții care nu pot activa AMSI, se recomanda insistent deconectarea serverelor SharePoint vulnerabile de la internet.
În urma rapoartelor de exploatare în curs, Microsoft a lansat patch-uri atât pentru CVE-2025-53770, cât și pentru o eroare recent descoperită, CVE-2025-53771, pentru a proteja sistemele vulnerabile.
Avertismentul CISA
Agenția pentru Securitatea Cibernetică și Infrastructură (CISA) din SUA a emis o alertă care confirmă exploatarea activă a vulnerabilității CVE-2025-53770. Această vulnerabilitate permite atacatorilor să execute cod de la distanță, neautentificat, prin rețea, reprezentând o amenințare gravă pentru orice mediu SharePoint neaplicat.
