Вразливість нульового дня CVE-2025-53770
Серйозна вразливість безпеки Microsoft SharePoint Server стала предметом тривалої масштабної кібератак. Ця вразливість, що відстежується як CVE-2025-53770 з оцінкою CVSS 9,8, класифікується як вразливість нульового дня та тісно пов'язана з CVE-2025-49704 (CVSS 8.8) – помилкою впровадження коду та віддаленого виконання коду, яку було виправлено під час оновлень Microsoft Patch Tuesday у липні 2025 року. Вразливість виникає через десеріалізацію ненадійних даних, що дозволяє зловмисникам виконувати шкідливий код віддалено та без належної авторизації.
Зміст
Активні атаки та уражені системи
Дослідники підтвердили, що кіберзлочинці активно використовують цю вразливість проти локальних екземплярів SharePoint Server. Важливо, що SharePoint Online в Microsoft 365 залишається неушкодженим. Зловмисники використовують те, як SharePoint обробляє ненадійні об'єкти під час десеріалізації, що надає їм можливість виконувати команди до автентифікації користувача. Потрапивши в систему, зловмисники можуть створювати підроблені корисні навантаження, використовуючи викрадені ключі машини, що дозволяє горизонтальне переміщення та постійний доступ. Це ускладнює виявлення та усунення наслідків, оскільки їхня діяльність може імітувати легітимний трафік SharePoint.
Складні ланцюги експлойтів
Дані свідчать про те, що CVE-2025-53770 використовується разом з іншими недоліками, включаючи CVE-2025-49706 (підробка з оцінкою CVSS 6,3) та CVE-2025-49704, для формування розширеного ланцюжка експлойтів, відомого як ToolShell. Зловмисники використовують CVE-2025-49706 для доставки віддалених корисних навантажень виконання коду, які експлуатують CVE-2025-49704. Додавання '_layouts/SignOut.aspx' як HTTP-реферера, як повідомляється, перетворює CVE-2025-49706 на CVE-2025-53770, що забезпечує більш спрощений процес експлуатації.
Атаки зазвичай включають корисні навантаження ASPX, що доставляються через PowerShell, з метою крадіжки конфігурації MachineKey сервера (ValidationKey та DecryptionKey). Ці ключі є критично важливими, оскільки вони дозволяють зловмисникам створювати шкідливі корисні навантаження __VIEWSTATE, які SharePoint сприйматиме як дійсні, фактично перетворюючи будь-який автентифікований запит на можливість віддаленого виконання коду.
Шкала компромісу
Наразі понад 85 серверів SharePoint по всьому світу було скомпрометовано, що вплинуло на щонайменше 29 організацій, включаючи багатонаціональні корпорації та урядові установи. Після того, як зловмисники отримують криптографічні ключі, відновлення стає набагато складнішим. Навіть після застосування патчу безпеки викрадені ключі все ще можуть дозволити зловмисникам зберегти доступ, якщо ці ключі не будуть вручну змінені або переналаштовані.
Заходи пом'якшення наслідків
Доки не з’явився офіційний патч, Microsoft рекомендувала організаціям увімкнути інтеграцію інтерфейсу сканування антивірусного програмного забезпечення (AMSI) у SharePoint. Клієнтам, які не можуть активувати AMSI, наполегливо рекомендувалося відключити вразливі сервери SharePoint від Інтернету.
Після постійних повідомлень про випадки експлуатації, Microsoft випустила патчі як для CVE-2025-53770, так і для нещодавно виявленої уразливості CVE-2025-53771, щоб захистити вразливі системи.
Попередження CISA
Агентство з кібербезпеки та безпеки інфраструктури США (CISA) опублікувало попередження, яке підтверджує активне використання вразливості CVE-2025-53770. Ця вразливість дозволяє зловмисникам здійснювати неавтентифіковане віддалене виконання коду через мережу, що створює серйозну загрозу для будь-якого невиправленого середовища SharePoint.
