Поделиться
Microsoft предупредила заявила о массовых атаках на серверное ПО SharePoint. Экстренно выходят патчи
Новые уязвимости, по-видимому, являются вариациями на тему других, более ранних, патчи к которым Microsoft выпускала несколько недель назад. В любом случае, установить обновления следует как можно скорее.
С пометкой «срочно»
Хакерские группировки начали интенсивно эксплуатировать уязвимость нулевого дня в Microsoft SharePoint Server, которой присвоен индекс CVE-2025-53770. Под атакой находится и следующая за ней - CVE-2025-53771.
Уязвимость CVE-2025-53770 получила почти максимальную оценку угроз по шкале CVSS - 9,8 балла из 10 возможных. При этом ее называют «вариантом» другой, более ранней уязвимости - CVE-2025-49704, которая также была выявлена в этом году и устранена в рамках июльского кумулятивного обновления.
«Речь, по-видимому, идет о недоработанном изначально патче, который хакеры смогли обойти», - говорит Анастасия Мельникова, директор по информационной безопасности компании SEQ. «Тот факт, что угроза от нового варианта оценивается намного выше, чем от оригинала, означает, что установку внеочередных обновлений необходимо произвести в приоритетном порядке, вне зависимости от того, являются ли они финальным вариантом или промежуточным».
Действительно, угроза от CVE-2025-49704 оценивалась в 8,8 баллов по шкале CVSS, на полный балл ниже, чем в случае CVE-2025-53770. Впрочем, возможность запуска произвольного кода фигурирует в обоих случаях. Разница в том, что эксплуатация CVE-2025-53770 возникает вследствие десериализации недоверенных данных в локальных установках SharePoint Server. Никакой авторизации для этого не требуется.
Эксплойт заточен, пущен в ход
В Microsoft подтвердили существование эксплойта, широко используемого в атаках на локальные установки SharePoint Server. Облачный вариант SharePoint в составе Microsoft 365 не затронут.
Эксплуатация уязвимости не ограничивается внедрением произвольного кода: злоумышленники используют особенности механизма десериализации объектов в SharePoint, которые позволяют выполнять команды без прохождения аутентификации.
В дальнейшем злоумышленники получают возможность формировать произвольные компоненты для развития атаки внутри системы, используя украденные ключи MachineKey, и тем самым обеспечивать себе постоянство доступа и возможность скрытно передвигаться по сети, - все их действия маскируются под легитимные процессы SharePoint. Если на конечных точках отсутствуют средства глубокого анализа, выявить и заблокировать эту деятельность может быть непросто.
Microsoft довольно оперативно выпустила исправления, успев, впрочем, предложить в качестве промежуточной меры перенастроить интерфейс сканирования вредоносного ПО (AMSI) на интеграцию с SharePoint - если она не включена по умолчанию - и установить защитные средства Defender на все серверы SharePoint.
Все фигуры до одной
В свою очередь, эксперты по кибербезопасности Palo Alto Networks и Eye Security обратили внимание на серию атак, использующих комбинацию CVE-2025-49704 и CVE-2025-49706 (уязвимость, которая в силу некорректной аутентификации открывает злоумышленникам возможность подменять сетевые адреса). Степень угрозы от CVE-2025-49706 оценивается лишь в 6,3 балла по шкале CVSS, но комбинация представляет намного большую угрозу.
Поскольку новооткрытая уязвимость CVE-2025-53770 является «вариантом» «бага» CVE-2025-49704, существует ненулевая вероятность, что инциденты, о которых пишут эксперты Palo Alto Networks и Eye Security, связаны между собой, и возможно, что «новые» уязвимости принимали за «старые».
В публикации Eye Security говорится, что выявленные компанией атаки используют CVE-2025-49706 для отправки POST-запроса, который содержит компонент, вызывающий запуск произвольного кода с использованием CVE-2025-49704.
По их словам, добавление '_layouts/SignOut.aspx' в заголовок HTTP Referer преобразует уязвимость CVE-2025-49706 в CVE-2025-53770.
ZDI описывает CVE-2025-49706 как ошибку обхода аутентификации, вызванную некорректной обработкой заголовка Referer при обращении к endpoint /_layouts/15/ToolPane.aspx.
Атаки включают подгрузку ASPX-файлов через PowerShell, вслед за чем атакующие похищают конфигурацию MachineKey сервера SharePoint, в том числе ValidationKey и DecryptionKey, для сохранения доступа.
По данным специалистов Eye Security, эти ключи необходимы для генерации валидных вредоносных компонентов __VIEWSTATE. Доступ к ним позволяет превращать любой аутентифицированный запрос к SharePoint в команду на выполнение произвольного кода.
Количество зафиксированных успешных атак на серверы SharePoint, при которых применялись описанные уязвимости, уже приближается к сотне.
Так сколько было младенцев?
CVE-2025-49704 и CVE-2025-49706 были впервые продемонстрированы на берлинском хакерском соревновании Pwn2Own и получили общее название ToolShell. И хотя Microsoft выпустила патчи к ним, издание Bleeping Computer указывает, что, помимо CVE-2025-53770, выделена еще одна уязвимость - CVE-2025-53771. В бюллетене Microsoft указывается, что патч к CVE-2025-53770 обеспечивают «более надежную защиту, чем обновления к CVE-2025-49704», а обновление против CVE-2025-53771 - защищает лучше, чем прежний патч к CVE-2025-49706.
К сожалению, на текущий момент патчи доступны только для Microsoft SharePoint Server 2019 и Microsoft SharePoint Subscription Edition. Обновление для версии 2016 г. еще только готовится.
После установки обновлений необходимо осуществить ротацию ключей с помощью встроенных инструментов SharePoint.
Короткая ссылка
