CVE-2025-53770 జీరో-డే దుర్బలత్వం

మైక్రోసాఫ్ట్ షేర్‌పాయింట్ సర్వర్‌లో తీవ్రమైన భద్రతా లోపం కొనసాగుతున్న, పెద్ద ఎత్తున సైబర్ దాడి ప్రచారానికి కేంద్రంగా మారింది. CVSE-2025-53770గా 9.8 CVSS స్కోర్‌తో ట్రాక్ చేయబడిన ఈ దుర్బలత్వాన్ని జీరో-డేగా వర్గీకరించారు మరియు ఇది CVE-2025-49704 (CVSS 8.8)కి దగ్గరి సంబంధం కలిగి ఉంది, ఇది మైక్రోసాఫ్ట్ జూలై 2025 ప్యాచ్ మంగళవారం నవీకరణల సమయంలో పరిష్కరించబడిన కోడ్ ఇంజెక్షన్ మరియు రిమోట్ కోడ్ ఎగ్జిక్యూషన్ బగ్. ఈ లోపం విశ్వసనీయత లేని డేటాను తొలగించడం నుండి వచ్చింది, ఇది దాడి చేసేవారు హానికరమైన కోడ్‌ను రిమోట్‌గా మరియు సరైన అనుమతి లేకుండా అమలు చేయడానికి అనుమతిస్తుంది.

క్రియాశీల దాడులు మరియు ప్రభావిత వ్యవస్థలు

సైబర్ నేరస్థులు ఈ దుర్బలత్వాన్ని ప్రాంగణంలోని షేర్‌పాయింట్ సర్వర్ ఉదంతాలపై చురుకుగా ఉపయోగించుకుంటున్నారని పరిశోధకులు నిర్ధారించారు. ముఖ్యంగా, మైక్రోసాఫ్ట్ 365లోని షేర్‌పాయింట్ ఆన్‌లైన్ ప్రభావితం కాలేదు. డీసీరియలైజేషన్ సమయంలో షేర్‌పాయింట్ నమ్మదగని వస్తువులను ఎలా నిర్వహిస్తుందో దాడి చేసేవారు దోపిడీ చేస్తున్నారు, వినియోగదారు ప్రామాణీకరణకు ముందు ఆదేశాలను అమలు చేసే సామర్థ్యాన్ని వారికి అందిస్తారు. సిస్టమ్‌లోకి ప్రవేశించిన తర్వాత, దాడి చేసేవారు దొంగిలించబడిన మెషిన్ కీలను ఉపయోగించి నకిలీ పేలోడ్‌లను రూపొందించవచ్చు, పార్శ్వ కదలిక మరియు నిరంతర యాక్సెస్‌ను అనుమతిస్తుంది. ఇది గుర్తింపు మరియు తగ్గింపును సవాలుగా చేస్తుంది, ఎందుకంటే వారి కార్యాచరణ చట్టబద్ధమైన షేర్‌పాయింట్ ట్రాఫిక్‌ను అనుకరించగలదు.

కాంప్లెక్స్ ఎక్స్‌ప్లోయిట్ చైన్‌లు

CVE-2025-53770 అనేది CVE-2025-49706 (CVSS స్కోర్ 6.3 కలిగిన స్పూఫింగ్ బగ్) మరియు CVE-2025-49704 వంటి ఇతర లోపాలతో పాటు ToolShell అని పిలువబడే అధునాతన దోపిడీ గొలుసును రూపొందించడానికి ఉపయోగించబడుతుందని ఆధారాలు సూచిస్తున్నాయి. దాడి చేసేవారు CVE-2025-49706 ను ఉపయోగించుకుని CVE-2025-49704 ను దోపిడీ చేసే రిమోట్ కోడ్ అమలు పేలోడ్‌లను అందిస్తారు. '_layouts/SignOut.aspx' ను HTTP రిఫరర్‌గా జోడించడం వలన CVE-2025-49706 ను CVE-2025-53770 గా మారుస్తుంది, ఇది మరింత క్రమబద్ధీకరించబడిన దోపిడీ ప్రక్రియను అనుమతిస్తుంది.

ఈ దాడులలో సాధారణంగా పవర్‌షెల్ ద్వారా డెలివరీ చేయబడిన ASPX పేలోడ్‌లు ఉంటాయి, సర్వర్ యొక్క మెషిన్‌కీ కాన్ఫిగరేషన్ (వాలిడేషన్‌కీ మరియు డిక్రిప్షన్‌కీ)ను దొంగిలించే లక్ష్యంతో. ఈ కీలు కీలకమైనవి ఎందుకంటే అవి దాడి చేసేవారు షేర్‌పాయింట్ చెల్లుబాటు అయ్యేదిగా అంగీకరించే హానికరమైన __VIEWSTATE పేలోడ్‌లను రూపొందించడానికి అనుమతిస్తాయి, ఏదైనా ప్రామాణీకరించబడిన అభ్యర్థనను రిమోట్ కోడ్ అమలు అవకాశంగా సమర్థవంతంగా మారుస్తాయి.

రాజీ స్థాయి

ఇప్పటివరకు, ప్రపంచవ్యాప్తంగా 85 కి పైగా షేర్‌పాయింట్ సర్వర్‌లు రాజీపడ్డాయి, ఇది బహుళజాతి సంస్థలు మరియు ప్రభుత్వ సంస్థలతో సహా కనీసం 29 సంస్థలను ప్రభావితం చేసింది. దాడి చేసేవారు క్రిప్టోగ్రాఫిక్ కీలను పొందిన తర్వాత, నివారణ చాలా క్లిష్టంగా మారుతుంది. భద్రతా ప్యాచ్‌ను వర్తింపజేసిన తర్వాత కూడా, దొంగిలించబడిన కీలు దాడి చేసేవారు ఆ కీలను మాన్యువల్‌గా తిప్పకపోతే లేదా తిరిగి కాన్ఫిగర్ చేయకపోతే యాక్సెస్‌ను కొనసాగించడానికి అనుమతించవచ్చు.

ఉపశమన చర్యలు

అధికారిక ప్యాచ్ అందుబాటులోకి వచ్చే వరకు, మైక్రోసాఫ్ట్ సంస్థలకు షేర్‌పాయింట్‌లో యాంటీమాల్వేర్ స్కాన్ ఇంటర్‌ఫేస్ (AMSI) ఇంటిగ్రేషన్‌ను ప్రారంభించాలని సూచించింది. AMSIని యాక్టివేట్ చేయలేని కస్టమర్‌ల కోసం, ఇంటర్నెట్ నుండి హాని కలిగించే షేర్‌పాయింట్ సర్వర్‌లను డిస్‌కనెక్ట్ చేయాలని గట్టిగా సిఫార్సు చేయబడింది.

కొనసాగుతున్న దోపిడీ నివేదికల తరువాత, మైక్రోసాఫ్ట్ CVE-2025-53770 మరియు కొత్తగా కనుగొనబడిన లోపం, CVE-2025-53771 రెండింటికీ హాని కలిగించే వ్యవస్థలను రక్షించడానికి ప్యాచ్‌లను విడుదల చేసింది.

CISA హెచ్చరిక

CVE-2025-53770 యొక్క క్రియాశీల దోపిడీని ధృవీకరిస్తూ US సైబర్ సెక్యూరిటీ అండ్ ఇన్‌ఫ్రాస్ట్రక్చర్ సెక్యూరిటీ ఏజెన్సీ (CISA) హెచ్చరిక జారీ చేసింది. ఈ దుర్బలత్వం దాడి చేసేవారికి నెట్‌వర్క్ ద్వారా ప్రామాణీకరించబడని, రిమోట్ కోడ్ అమలును సాధించడానికి అనుమతిస్తుంది, ఇది ఏదైనా అన్‌ప్యాచ్డ్ షేర్‌పాయింట్ వాతావరణానికి తీవ్రమైన ముప్పును కలిగిస్తుంది.