CVE-2025-53770 Zero-Day Vulnerability
Ang isang matinding depekto sa seguridad sa Microsoft SharePoint Server ay naging focus ng isang patuloy, malakihang cyberattack na kampanya. Sinusubaybayan bilang CVE-2025-53770 na may marka ng CVSS na 9.8, ang kahinaang ito ay inuri bilang isang zero-day at malapit na nauugnay sa CVE-2025-49704 (CVSS 8.8), isang code injection at remote code execution bug na tinutugunan sa panahon ng mga update ng Microsoft noong Hulyo 2025 Patch Martes. Ang kapintasan ay nagmumula sa deserialization ng hindi pinagkakatiwalaang data, na nagpapahintulot sa mga umaatake na magsagawa ng malisyosong code nang malayuan at nang walang wastong pahintulot.
Talaan ng mga Nilalaman
Mga Aktibong Pag-atake at Mga Naapektuhang Sistema
Kinumpirma ng mga mananaliksik na aktibong sinasamantala ng mga cybercriminal ang kahinaang ito laban sa mga on-premise SharePoint Server instance. Mahalaga, ang SharePoint Online sa Microsoft 365 ay nananatiling hindi naaapektuhan. Sinasamantala ng mga umaatake kung paano pinangangasiwaan ng SharePoint ang mga hindi pinagkakatiwalaang bagay sa panahon ng deserialization, na nagbibigay sa kanila ng kakayahang magsagawa ng mga command bago ang pagpapatunay ng user. Kapag nasa loob na ng system, makakabuo ang mga attacker ng mga pekeng payload gamit ang mga ninakaw na susi ng makina, na nagbibigay-daan sa paggalaw sa gilid at patuloy na pag-access. Ginagawa nitong mahirap ang pagtuklas at pagpapagaan, dahil maaaring gayahin ng kanilang aktibidad ang lehitimong trapiko ng SharePoint.
Mga Complex Exploit Chain
Iminumungkahi ng ebidensya na ang CVE-2025-53770 ay ginagamit kasama ng iba pang mga depekto, kabilang ang CVE-2025-49706 (isang spoofing bug na may marka ng CVSS na 6.3) at CVE-2025-49704, upang bumuo ng isang advanced na chain ng pagsasamantala na kilala bilang ToolShell. Ginagamit ng mga attacker ang CVE-2025-49706 para maghatid ng mga remote code execution payloads na nagsasamantala sa CVE-2025-49704. Ang pagdaragdag ng '_layouts/SignOut.aspx' bilang ang HTTP referer ay iniulat na binabago ang CVE-2025-49706 sa CVE-2025-53770, na nagbibigay-daan sa isang mas streamline na proseso ng pagsasamantala.
Karaniwang kinasasangkutan ng mga pag-atake ang mga payload ng ASPX na inihatid sa pamamagitan ng PowerShell, na may layuning nakawin ang configuration ng MachineKey ng server (ValidationKey at DecryptionKey). Ang mga susi na ito ay kritikal dahil pinapayagan nito ang mga umaatake na gumawa ng mga nakakahamak na __VIEWSTATE na mga payload na tatanggapin ng SharePoint bilang wasto, na epektibong ginagawang isang pagkakataon sa pagpapatupad ng remote na code ang anumang napatotohanang kahilingan.
Scale ng Compromise
Sa ngayon, higit sa 85 SharePoint server sa buong mundo ang nakompromiso, na nakakaapekto sa hindi bababa sa 29 na organisasyon, kabilang ang mga multinasyunal na korporasyon at ahensya ng gobyerno. Kapag ang mga umaatake ay may mga cryptographic key, ang remediation ay nagiging mas kumplikado. Kahit na pagkatapos mag-apply ng patch ng seguridad, ang mga ninakaw na key ay maaari pa ring payagan ang mga umaatake na mapanatili ang access maliban kung ang mga key na iyon ay manu-manong iniikot o muling na-configure.
Mga Panukala sa Pagbabawas
Hanggang sa maging available ang isang opisyal na patch, pinayuhan ng Microsoft ang mga organisasyon na paganahin ang pagsasama ng Antimalware Scan Interface (AMSI) sa SharePoint. Para sa mga customer na hindi ma-activate ang AMSI, ang pagdiskonekta ng mga mahihinang SharePoint Server mula sa internet ay lubos na inirerekomenda.
Kasunod ng mga patuloy na ulat ng pagsasamantala, naglabas ang Microsoft ng mga patch para sa parehong CVE-2025-53770 at isang bagong natuklasang kapintasan, CVE-2025-53771, upang protektahan ang mga masusugatan na sistema.
Babala ng CISA
Ang US Cybersecurity and Infrastructure Security Agency (CISA) ay naglabas ng alerto na nagkukumpirma ng aktibong pagsasamantala sa CVE-2025-53770. Ang kahinaan na ito ay nagbibigay-daan sa mga umaatake na makamit ang hindi napatotohanan, malayuang pagpapatupad ng code sa network, na nagdudulot ng matinding banta sa anumang hindi na-patch na kapaligiran ng SharePoint.
