Сейчас на сервера Microsoft SharePoint Server обрушилась волна массированных кибератак — хакеры активно эксплуатируют новую крайне опасную уязвимость.
Уязвимость-нульдень CVE-2025-53770 (CVSS: 9.8) — это усовершенствованная версия более ранней уязвимости CVE-2025-49706 (CVSS: 6.3), связанной с подменой данных в SharePoint. Microsoft пыталась закрыть эту дыру июльским патчем 2025 года, но сейчас проблема приобрела новый масштаб.
CVE-2025-53770
По данным Microsoft, неправильная обработка подозрительных данных на локальных SharePoint-серверах позволяет злоумышленникам запускать свой код удалённо и без какого-либо входа в систему.
В компании уверяют, что уже тестируют масштабное и надежное обновление для устранения угрозы. О новой уязвимости сообщил эксперт из Viettel Cyber Security через инициативу Zero Day Initiative от Trend Micro.
В свежем заявлении от 19 июля представители Microsoft уточняют: главная цель атак — локальные (on-premises) версии SharePoint Server. Облачный сервис SharePoint Online (Microsoft 365) под угрозой не находится.
Пока официальный патч еще не готов, Microsoft рекомендует срочно включить антивирусную проверку через интерфейс Antimalware Scan Interface (AMSI) на всех SharePoint-серверах и установить защиту Defender AV.
Важно: если у вас стоит обновление безопасности для SharePoint Server 2016 или 2019 от сентября 2023 года, либо обновление версии 23H2 для подписки SharePoint Server Subscription Edition, то AMSI уже активирован автоматически.
Там, где AMSI не удается запустить, совет — временно полностью отключить SharePoint Server от интернета до выхода исправления. Дополнительно рекомендуется использовать Defender for Endpoint для обнаружения и блокировки подозрительных действий после взлома.
Тем временем Eye Security и аналитики Palo Alto Networks Unit 42 предупреждают: хакеры комбинируют сразу две уязвимости — CVE-2025-49706 и CVE-2025-49704 (CVSS: 8.8), чтобы запускать любые команды на уязвимых серверах. Именно этот сценарий атак получил название ToolShell.
Поскольку CVE-2025-53770 является одной из версий CVE-2025-49706, специалисты уверены: все эти атаки связаны между собой.
Главная цель злоумышленников — залить вредоносные ASPX-файлы через PowerShell и украсть с сервера ключи MachineKey (ValidationKey и DecryptionKey), чтобы навсегда сохранить контроль над системой.
Эксперты по кибербезопасности из Нидерландов объясняют: с помощью этих ключей атакующие могут создавать легитимные __VIEWSTATE-запросы, превращая любой авторизованный доступ к SharePoint в инструмент удаленного исполнения команд.
«Масштаб атак продолжает расти, — отмечает технический директор Eye Security Пит Керхофс. — Последствия могут быть катастрофическими: злоумышленники перемещаются по инфраструктуре организаций с огромной скоростью, используя удаленный запуск кода».
«Мы уже предупредили порядка 75 организаций: их SharePoint-серверы заражены вредоносной web-shell. В списке и крупный бизнес, и государственные структуры со всего мира».
Заметим: Microsoft пока не обновила официальные бюллетени по CVE-2025-49706 и CVE-2025-49704 с информацией о масштабных атаках. Как только появятся детали, они будут добавлены в материал.
(Статья обновляется по мере появления новой информации — следите за новостями.)
Если вам понравилась эта статья, подпишитесь, чтобы не пропустить еще много полезных статей!
Премиум подписка - это доступ к эксклюзивным материалам, чтение канала без рекламы, возможность предлагать темы для статей и даже заказывать индивидуальные обзоры/исследования по своим запросам!Подробнее о том, какие преимущества вы получите с премиум подпиской, можно узнать здесь
Также подписывайтесь на нас в:
- Telegram: https://t.me/gergenshin
- Youtube: https://www.youtube.com/@gergenshin
- Яндекс Дзен: https://dzen.ru/gergen
- Официальный сайт: https://www-genshin.ru