CVE-2025-53770 Рањивост нултог дана
Озбиљан безбедносни пропуст у Microsoft SharePoint Server-у постао је фокус текуће, велике кампање сајбер напада. Праћена као CVE-2025-53770 са CVSS резултатом од 9,8, ова рањивост је класификована као зеро-дај рањивост и уско је повезана са CVE-2025-49704 (CVSS 8.8), грешком убризгавања кода и даљинског извршавања кода, која је отклоњена током Microsoft-ових ажурирања Patch Tuesday у јулу 2025. Пропуст произилази из десеријализације непоузданих података, што омогућава нападачима да извршавају злонамерни код даљински и без одговарајућег овлашћења.
Преглед садржаја
Активни напади и погођени системи
Истраживачи су потврдили да сајбер криминалци активно искоришћавају ову рањивост против локалних инстанци SharePoint Server-а. Важно је напоменути да SharePoint Online у Microsoft 365 остаје непромењен. Нападачи искоришћавају начин на који SharePoint рукује непоузданим објектима током десеријализације, што им даје могућност извршавања команди пре аутентификације корисника. Једном када уђу у систем, нападачи могу да генеришу фалсификоване корисне терете користећи украдене кључеве машине, омогућавајући бочно кретање и трајни приступ. Ово отежава откривање и ублажавање последица, јер њихова активност може да имитира легитиман SharePoint саобраћај.
Сложени ланци експлоатације
Докази указују на то да се CVE-2025-53770 користи заједно са другим грешкама, укључујући CVE-2025-49706 (грешка за лажно представљање са CVSS резултатом 6,3) и CVE-2025-49704, да би се формирао напредни ланац експлоатације познат као ToolShell. Нападачи користе CVE-2025-49706 за испоруку даљинског извршавања кода који експлоатише CVE-2025-49704. Додавање „_layouts/SignOut.aspx“ као HTTP референта наводно трансформише CVE-2025-49706 у CVE-2025-53770, омогућавајући ефикаснији процес експлоатације.
Напади обично укључују ASPX корисне податке испоручени путем PowerShell-а, са циљем крађе конфигурације MachineKey сервера (ValidationKey и DecryptionKey). Ови кључеви су кључни јер омогућавају нападачима да креирају злонамерне корисне податке __VIEWSTATE које ће SharePoint прихватити као валидне, ефикасно претварајући сваки аутентификовани захтев у могућност за даљинско извршавање кода.
Скала компромиса
До сада је угрожено више од 85 SharePoint сервера широм света, што је утицало на најмање 29 организација, укључујући мултинационалне корпорације и владине агенције. Када нападачи добију криптографске кључеве, санација постаје много компликованија. Чак и након примене безбедносне закрпе, украдени кључеви могу и даље омогућити нападачима да задрже приступ, осим ако се ти кључеви ручно не ротирају или реконфигуришу.
Мере ублажавања
Док званична закрпа није постала доступна, Мајкрософт је саветовао организацијама да омогуће интеграцију Antimalware Scan Interface (AMSI) у SharePoint-у. За кориснике који нису могли да активирају AMSI, топло се препоручује искључивање рањивих SharePoint сервера са интернета.
Након сталних извештаја о експлоатацији, Мајкрософт је објавио закрпе за CVE-2025-53770 и новооткривену грешку, CVE-2025-53771, како би заштитио рањиве системе.
Упозорење CISA-е
Америчка агенција за сајбер безбедност и безбедност инфраструктуре (CISA) издала је упозорење којим потврђује активно искоришћавање рањивости CVE-2025-53770. Ова рањивост омогућава нападачима да изврше неаутентификовано, даљинско извршавање кода преко мреже, што представља озбиљну претњу за свако неажурирано SharePoint окружење.
