CVE-2025-53770 Nolldagarssårbarhet
En allvarlig säkerhetsbrist i Microsoft SharePoint Server har hamnat i fokus för en pågående storskalig cyberattackkampanj. Sårbarheten, som spåras som CVE-2025-53770 med en CVSS-poäng på 9,8, klassificeras som en nolldagsbrist och är nära relaterad till CVE-2025-49704 (CVSS 8.8), en bugg för kodinjektion och fjärrkodexekvering som åtgärdades under Microsofts Patch Tuesday-uppdateringar i juli 2025. Bristen härrör från avserialisering av otillförlitlig data, vilket gör det möjligt för angripare att exekvera skadlig kod på distans och utan korrekt auktorisering.
Innehållsförteckning
Aktiva attacker och påverkade system
Forskare har bekräftat att cyberbrottslingar aktivt utnyttjar denna sårbarhet mot lokala SharePoint Server-instanser. Viktigt är att SharePoint Online i Microsoft 365 förblir opåverkad. Angriparna utnyttjar hur SharePoint hanterar otillförlitliga objekt under avserialisering, vilket ger dem möjlighet att köra kommandon före användarautentisering. Väl inne i systemet kan angripare generera förfalskade nyttolaster med hjälp av stulna maskinnycklar, vilket möjliggör lateral förflyttning och ihållande åtkomst. Detta gör det svårt att upptäcka och mildra problemet, eftersom deras aktivitet kan imitera legitim SharePoint-trafik.
Komplexa exploateringskedjor
Bevis tyder på att CVE-2025-53770 används tillsammans med andra brister, inklusive CVE-2025-49706 (en förfalskningsbugg med en CVSS-poäng på 6,3) och CVE-2025-49704, för att bilda en avancerad exploitkedja som kallas ToolShell. Angripare utnyttjar CVE-2025-49706 för att leverera fjärrkodkörningsnyttolaster som utnyttjar CVE-2025-49704. Genom att lägga till '_layouts/SignOut.aspx' som HTTP-referens omvandlas enligt uppgift CVE-2025-49706 till CVE-2025-53770, vilket möjliggör en mer strömlinjeformad exploateringsprocess.
Attackerna involverar vanligtvis ASPX-nyttolaster som levereras via PowerShell, med målet att stjäla serverns MachineKey-konfiguration (ValidationKey och DecryptionKey). Dessa nycklar är kritiska eftersom de gör det möjligt för angripare att skapa skadliga __VIEWSTATE-nyttolaster som SharePoint accepterar som giltiga, vilket effektivt förvandlar alla autentiserade begäranden till en möjlighet till fjärrkörning av kod.
Kompromissens skala
Hittills har fler än 85 SharePoint-servrar världen över komprometterats, vilket påverkar minst 29 organisationer, inklusive multinationella företag och myndigheter. När angriparna väl har de kryptografiska nycklarna blir åtgärden mycket mer komplicerad. Även efter att en säkerhetsuppdatering har installerats kan stulna nycklar fortfarande tillåta angripare att behålla åtkomst om inte dessa nycklar manuellt roteras eller konfigureras om.
Mildrande åtgärder
Tills en officiell patch blev tillgänglig rekommenderade Microsoft organisationer att aktivera integrationen av Antimalware Scan Interface (AMSI) i SharePoint. För kunder som inte kan aktivera AMSI rekommenderas starkt att koppla bort sårbara SharePoint-servrar från internet.
Efter pågående rapporter om exploatering har Microsoft släppt patchar för både CVE-2025-53770 och en nyligen upptäckt brist, CVE-2025-53771, för att skydda sårbara system.
CISA:s varning
Den amerikanska myndigheten för cybersäkerhet och infrastruktursäkerhet (CISA) har utfärdat en varning som bekräftar aktivt utnyttjande av CVE-2025-53770. Denna sårbarhet gör det möjligt för angripare att utföra oautentiserad fjärrkodkörning över nätverket, vilket utgör ett allvarligt hot mot alla opatchade SharePoint-miljöer.
