Ranljivost ničelnega dne CVE-2025-53770
Resna varnostna napaka v strežniku Microsoft SharePoint Server je postala središče obsežne kibernetske kampanje. Ranljivost, označena kot CVE-2025-53770 z oceno CVSS 9,8, je razvrščena kot ranljivost ničelnega dne in je tesno povezana s CVE-2025-49704 (CVSS 8.8), napako, ki je vbrizgavala kodo in jo izvajala na daljavo, ter je bila odpravljena med Microsoftovimi posodobitvami Patch Tuesday julija 2025. Napaka izhaja iz deserializacije nezaupanja vrednih podatkov, kar napadalcem omogoča oddaljeno izvajanje zlonamerne kode brez ustreznega dovoljenja.
Kazalo
Aktivni napadi in prizadeti sistemi
Raziskovalci so potrdili, da kibernetski kriminalci aktivno izkoriščajo to ranljivost proti lokalnim primerkom strežnika SharePoint Server. Pomembno je, da SharePoint Online v storitvi Microsoft 365 ostaja nespremenjen. Napadalci izkoriščajo način, kako SharePoint med deserializacijo obravnava nezaupanja vredne objekte, kar jim omogoča izvajanje ukazov pred preverjanjem pristnosti uporabnika. Ko so napadalci v sistemu, lahko ustvarijo ponarejene koristne tovore z uporabo ukradenih ključev stroja, kar omogoča lateralno premikanje in trajen dostop. Zaradi tega je odkrivanje in ublažitev težavno, saj lahko njihova dejavnost posnema legitimni promet SharePointa.
Kompleksne verige izkoriščanja
Dokazi kažejo, da se CVE-2025-53770 uporablja skupaj z drugimi napakami, vključno s CVE-2025-49706 (napaka za lažno predstavljanje z oceno CVSS 6,3) in CVE-2025-49704, za oblikovanje napredne verige izkoriščanja, znane kot ToolShell. Napadalci izkoriščajo CVE-2025-49706 za pošiljanje koristnih tovorov za oddaljeno izvajanje kode, ki izkoriščajo CVE-2025-49704. Dodajanje '_layouts/SignOut.aspx' kot referenčne točke HTTP naj bi CVE-2025-49706 pretvorilo v CVE-2025-53770, kar omogoča bolj poenostavljen postopek izkoriščanja.
Napadi običajno vključujejo koristne tokove ASPX, dostavljene prek PowerShella, s ciljem kraje konfiguracije MachineKey strežnika (ValidationKey in DecryptionKey). Ti ključi so ključni, ker napadalcem omogočajo ustvarjanje zlonamernih koristnih tokov __VIEWSTATE, ki jih bo SharePoint sprejel kot veljavne, s čimer se vsaka overjena zahteva dejansko spremeni v priložnost za oddaljeno izvajanje kode.
Lestvica kompromisa
Do sedaj je bilo po vsem svetu ogroženih več kot 85 strežnikov SharePoint, kar je vplivalo na vsaj 29 organizacij, vključno z multinacionalkami in vladnimi agencijami. Ko napadalci pridobijo kriptografske ključe, postane sanacija veliko bolj zapletena. Tudi po namestitvi varnostnega popravka lahko ukradeni ključi napadalcem še vedno omogočajo dostop, razen če so ti ključi ročno rotirani ali prekonfigurirani.
Blažilni ukrepi
Dokler ni bil na voljo uradni popravek, je Microsoft organizacijam svetoval, naj v SharePointu omogočijo integracijo vmesnika za skeniranje zlonamerne programske opreme (AMSI). Strankam, ki ne morejo aktivirati AMSI, je bilo močno priporočeno, da ranljive strežnike SharePoint odklopijo z interneta.
Po poročanju o nenehnih izkoriščanjih je Microsoft izdal popravke za napako CVE-2025-53770 in novo odkrito napako CVE-2025-53771, da bi zaščitil ranljive sisteme.
Opozorilo CISA
Ameriška agencija za kibernetsko varnost in varnost infrastrukture (CISA) je izdala opozorilo, ki potrjuje aktivno izkoriščanje ranljivosti CVE-2025-53770. Ta ranljivost napadalcem omogoča nepreverjeno, oddaljeno izvajanje kode prek omrežja, kar predstavlja resno grožnjo za katero koli nepopravljeno okolje SharePoint.
