Zraniteľnosť typu zero-day CVE-2025-53770
Závažná bezpečnostná chyba v Microsoft SharePoint Serveri sa stala predmetom prebiehajúcej rozsiahlej kybernetickej kampane. Táto zraniteľnosť, ktorá je sledovaná ako CVE-2025-53770 so skóre CVSS 9,8, je klasifikovaná ako zraniteľnosť typu zero-day a úzko súvisí s chybou CVE-2025-49704 (CVSS 8.8), ktorá zahŕňa vkladanie kódu a vzdialené spúšťanie kódu a bola vyriešená počas aktualizácií spoločnosti Microsoft Patch Tuesday z júla 2025. Chyba pramení z deserializácie nedôveryhodných údajov, čo útočníkom umožňuje spúšťať škodlivý kód na diaľku a bez riadneho oprávnenia.
Obsah
Aktívne útoky a ovplyvnené systémy
Výskumníci potvrdili, že kyberzločinci aktívne zneužívajú túto zraniteľnosť proti lokálnym inštanciám SharePoint Servera. Dôležité je, že SharePoint Online v Microsoft 365 zostáva nedotknutý. Útočníci zneužívajú spôsob, akým SharePoint spracováva nedôveryhodné objekty počas deserializácie, čo im umožňuje vykonávať príkazy pred overením používateľa. Po vstupe do systému môžu útočníci generovať falošné užitočné zaťaženia pomocou ukradnutých kľúčov počítača, čo umožňuje laterálny pohyb a trvalý prístup. To sťažuje detekciu a zmierňovanie rizík, pretože ich aktivita môže napodobňovať legitímnu prevádzku SharePointu.
Komplexné reťazce zneužívania
Dôkazy naznačujú, že CVE-2025-53770 sa používa spolu s ďalšími chybami vrátane CVE-2025-49706 (falošná chyba so skóre CVSS 6,3) a CVE-2025-49704 na vytvorenie pokročilého reťazca exploitov známeho ako ToolShell. Útočníci využívajú CVE-2025-49706 na doručovanie dát na vzdialené spustenie kódu, ktoré zneužívajú CVE-2025-49704. Pridanie „_layouts/SignOut.aspx“ ako odkazujúceho reťazca HTTP údajne transformuje CVE-2025-49706 na CVE-2025-53770, čo umožňuje efektívnejší proces exploitácie.
Útoky zvyčajne zahŕňajú dáta ASPX doručované prostredníctvom PowerShellu s cieľom ukradnúť konfiguráciu MachineKey servera (ValidationKey a DecryptionKey). Tieto kľúče sú kritické, pretože umožňujú útočníkom vytvárať škodlivé dáta __VIEWSTATE, ktoré SharePoint akceptuje ako platné, čím sa akákoľvek overená požiadavka efektívne premení na príležitosť na vzdialené spustenie kódu.
Miera kompromisu
Doteraz bolo na celom svete napadnutých viac ako 85 serverov SharePoint, čo malo vplyv na najmenej 29 organizácií vrátane nadnárodných spoločností a vládnych agentúr. Keď útočníci získajú kryptografické kľúče, náprava sa stáva oveľa komplikovanejšou. Aj po použití bezpečnostnej záplaty môžu ukradnuté kľúče útočníkom stále umožniť zachovať si prístup, pokiaľ tieto kľúče nie sú manuálne otočené alebo prekonfigurované.
Zmierňujúce opatrenia
Kým nebola k dispozícii oficiálna oprava, spoločnosť Microsoft organizáciám odporúčala, aby v SharePointe povolili integráciu rozhrania Antimalware Scan Interface (AMSI). Zákazníkom, ktorí nedokážu aktivovať rozhranie AMSI, sa dôrazne odporúčalo odpojiť zraniteľné servery SharePoint od internetu.
V nadväznosti na aktuálne správy o zneužívaní vírusov spoločnosť Microsoft vydala záplaty pre chybu CVE-2025-53770 aj pre novo objavenú chybu CVE-2025-53771 na ochranu zraniteľných systémov.
Varovanie CISA
Americká agentúra pre kybernetickú bezpečnosť a bezpečnosť infraštruktúry (CISA) vydala varovanie potvrdzujúce aktívne zneužívanie zraniteľnosti CVE-2025-53770. Táto zraniteľnosť umožňuje útočníkom dosiahnuť neoverené, vzdialené spustenie kódu cez sieť, čo predstavuje vážnu hrozbu pre akékoľvek nezabezpečené prostredie SharePointu.
