Уязвимость нулевого дня CVE-2025-53770
Серьёзная уязвимость безопасности Microsoft SharePoint Server стала объектом продолжающейся масштабной кампании кибератак. Эта уязвимость, известная как CVE-2025-53770 с рейтингом CVSS 9,8, классифицируется как уязвимость нулевого дня и тесно связана с CVE-2025-49704 (CVSS 8,8) — уязвимостью, позволяющей внедрять код и удалённо выполнять его, исправленной во вторник исправлений Microsoft в июле 2025 года. Уязвимость связана с десериализацией недоверенных данных, что позволяет злоумышленникам удалённо и без надлежащей авторизации выполнять вредоносный код.
Оглавление
Активные атаки и затронутые системы
Исследователи подтвердили, что киберпреступники активно эксплуатируют эту уязвимость против локальных экземпляров SharePoint Server. Важно отметить, что SharePoint Online в Microsoft 365 остаётся незатронутым. Злоумышленники используют особенности SharePoint при обработке недоверенных объектов во время десериализации, что позволяет им выполнять команды до аутентификации пользователя. Попав в систему, злоумышленники могут создавать поддельные полезные данные, используя украденные машинные ключи, обеспечивая горизонтальное перемещение и постоянный доступ. Это затрудняет обнаружение и нейтрализацию, поскольку их действия могут имитировать легитимный трафик SharePoint.
Сложные цепочки эксплойтов
Имеющиеся данные свидетельствуют о том, что CVE-2025-53770 используется вместе с другими уязвимостями, включая CVE-2025-49706 (ошибка спуфинга с рейтингом CVSS 6,3) и CVE-2025-49704, формируя сложную цепочку эксплойтов, известную как ToolShell. Злоумышленники используют CVE-2025-49706 для доставки полезных нагрузок для удалённого выполнения кода, эксплуатирующих CVE-2025-49704. Как сообщается, добавление «_layouts/SignOut.aspx» в качестве HTTP-реферера преобразует CVE-2025-49706 в CVE-2025-53770, что позволяет оптимизировать процесс эксплуатации.
Атаки обычно используют полезные данные ASPX, доставляемые через PowerShell, с целью кражи конфигурации MachineKey сервера (ValidationKey и DecryptionKey). Эти ключи критически важны, поскольку позволяют злоумышленникам создавать вредоносные полезные данные __VIEWSTATE, которые SharePoint принимает как допустимые, фактически превращая любой аутентифицированный запрос в возможность удалённого выполнения кода.
Масштаб компромисса
На сегодняшний день более 85 серверов SharePoint по всему миру были скомпрометированы, что затронуло как минимум 29 организаций, включая транснациональные корпорации и государственные учреждения. После того, как злоумышленники получат криптографические ключи, восстановление системы станет гораздо сложнее. Даже после установки исправления безопасности украденные ключи могут позволить злоумышленникам сохранить доступ, если только эти ключи не будут заменены или перенастроены вручную.
Меры по смягчению последствий
До выхода официального патча Microsoft рекомендовала организациям включить интеграцию Antimalware Scan Interface (AMSI) в SharePoint. Клиентам, не имеющим возможности активировать AMSI, настоятельно рекомендовалось отключить уязвимые серверы SharePoint от интернета.
После многочисленных сообщений об эксплуатациях компания Microsoft выпустила исправления для CVE-2025-53770 и недавно обнаруженной уязвимости CVE-2025-53771 для защиты уязвимых систем.
Предупреждение CISA
Агентство по кибербезопасности и безопасности инфраструктуры США (CISA) опубликовало предупреждение, подтверждающее активную эксплуатацию уязвимости CVE-2025-53770. Эта уязвимость позволяет злоумышленникам удалённо выполнять код без аутентификации по сети, что представляет серьёзную угрозу для любой среды SharePoint без установленных обновлений.
