CVE-2025-53770 Vulnerabilitet Zero-Day

Një defekt i rëndë sigurie në Microsoft SharePoint Server është bërë fokusi i një fushate të vazhdueshme, në shkallë të gjerë, sulmesh kibernetike. E gjurmuar si CVE-2025-53770 me një rezultat CVSS prej 9.8, kjo dobësi klasifikohet si një defekt zero-day dhe është i lidhur ngushtë me CVE-2025-49704 (CVSS 8.8), një defekt i injektimit të kodit dhe ekzekutimit të kodit në distancë i adresuar gjatë përditësimeve të Patch Tuesday të korrikut 2025 të Microsoft. Defekti rrjedh nga deserializimi i të dhënave të pabesueshme, i cili u lejon sulmuesve të ekzekutojnë kod të dëmshëm në distancë dhe pa autorizimin e duhur.

Sulme Aktive dhe Sisteme të Prekura

Studiuesit kanë konfirmuar se kriminelët kibernetikë po e shfrytëzojnë në mënyrë aktive këtë dobësi kundër instancave të SharePoint Server në vend. Është e rëndësishme të theksohet se SharePoint Online në Microsoft 365 mbetet i paprekur. Sulmuesit po shfrytëzojnë mënyrën se si SharePoint trajton objektet e pabesueshme gjatë deserializimit, duke u dhënë atyre mundësinë për të ekzekutuar komanda para vërtetimit të përdoruesit. Pasi të hyjnë brenda sistemit, sulmuesit mund të gjenerojnë ngarkesa të falsifikuara duke përdorur çelësa të vjedhur të makinës, duke mundësuar lëvizje anësore dhe akses të vazhdueshëm. Kjo e bën zbulimin dhe zbutjen sfiduese, pasi aktiviteti i tyre mund të imitojë trafikun legjitim të SharePoint.

Zinxhirë Kompleksë Shfrytëzimi

Provat sugjerojnë që CVE-2025-53770 po përdoret së bashku me të meta të tjera, duke përfshirë CVE-2025-49706 (një gabim mashtrimi me një rezultat CVSS prej 6.3) dhe CVE-2025-49704, për të formuar një zinxhir të avancuar shfrytëzimi të njohur si ToolShell. Sulmuesit shfrytëzojnë CVE-2025-49706 për të ofruar ngarkesa të ekzekutimit të kodit në distancë që shfrytëzojnë CVE-2025-49704. Shtimi i '_layouts/SignOut.aspx' si referues HTTP thuhet se transformon CVE-2025-49706 në CVE-2025-53770, duke mundësuar një proces shfrytëzimi më të efektshëm.

Sulmet zakonisht përfshijnë ngarkesa ASPX të dërguara nëpërmjet PowerShell, me qëllim vjedhjen e konfigurimit MachineKey të serverit (ValidationKey dhe DecryptionKey). Këta çelësa janë kritikë sepse u lejojnë sulmuesve të krijojnë ngarkesa keqdashëse __VIEWSTATE që SharePoint do t'i pranojë si të vlefshme, duke e shndërruar në mënyrë efektive çdo kërkesë të autentifikuar në një mundësi për ekzekutim kodi në distancë.

Shkalla e Kompromisit

Deri më tani, më shumë se 85 servera SharePoint në të gjithë botën janë kompromentuar, duke ndikuar në të paktën 29 organizata, duke përfshirë korporata shumëkombëshe dhe agjenci qeveritare. Pasi sulmuesit të kenë çelësat kriptografikë, ndreqja bëhet shumë më e ndërlikuar. Edhe pas aplikimit të një përditësimi sigurie, çelësat e vjedhur mund t'u lejojnë sulmuesve të ruajnë aksesin, përveç nëse këta çelësa rrotullohen ose rikonfigurohen manualisht.

Masat zbutëse

Derisa të bëhej i disponueshëm një patch zyrtar, Microsoft i këshilloi organizatat të aktivizonin integrimin e Ndërfaqes së Skanimit Antimalware (AMSI) në SharePoint. Për klientët që nuk mund ta aktivizojnë AMSI-n, rekomandohet fuqimisht shkëputja e Serverëve SharePoint të cenueshëm nga interneti.

Pas raporteve të vazhdueshme të shfrytëzimit, Microsoft ka publikuar patch-e si për CVE-2025-53770 ashtu edhe për një të metë të zbuluar rishtazi, CVE-2025-53771, për të mbrojtur sistemet e cenueshme.

Paralajmërimi i CISA-s

Agjencia Amerikane e Sigurisë Kibernetike dhe Sigurisë së Infrastrukturës (CISA) ka lëshuar një alarm që konfirmon shfrytëzimin aktiv të CVE-2025-53770. Kjo dobësi u lejon sulmuesve të arrijnë ekzekutim të kodit të paautorizuar dhe në distancë në rrjet, duke paraqitur një kërcënim serioz për çdo mjedis SharePoint të papajisur.