21/07/25
Речь идёт об уязвимости нулевого дня с номером CVE-2025-53770, которому присвоена оценка 9.8 балла из 10. Эта ошибка представляет собой усовершенствованную версию более ранней уязвимости CVE-2025-49706, устранённой в июльском обновлении Microsoft.
Проблема связана с тем, как сервер SharePoint обрабатывает недоверенные данные: механизм десериализации позволяет злоумышленнику удалённо выполнить произвольный код до прохождения подтверждения личности. Microsoft подтверждает, что атаки уже ведутся и затрагивают локальные версии SharePoint Server. Облачный SharePoint Online уязвимости не подвержен, пишет Securitylab.
После проникновения в систему атакующие крадут криптографические ключи, позволяющие подделывать внутренние данные SharePoint и маскироваться под легитимную активность. Это затрудняет обнаружение вторжений и реагирование на них. Компания Eye Security отмечает, что злоумышленники активно используют PowerShell для загрузки вредоносных ASPX-скриптов, с помощью которых извлекаются параметры MachineKey — ключи валидации и шифрования, отвечающие за безопасность внутренних структур, таких как __VIEWSTATE.
Скомпрометированные ключи позволяют формировать поддельные запросы, которые сервер принимает за подлинные, открывая путь к удалённому выполнению кода даже после установки стандартных обновлений. Это делает традиционные патчи недостаточной мерой защиты — обновление не меняет украденные секреты, и системы остаются уязвимыми.
На данный момент зафиксировано более 85 взломанных серверов SharePoint в разных странах. В список пострадавших входят 29 организаций, включая международные корпорации и государственные структуры.
Microsoft заявляет, что готовит общее обновление, которое должно закрыть уязвимость, и благодарит исследователей из Viettel Cyber Security, обнаруживших проблему. В качестве временной меры пользователям рекомендуется включить интеграцию Antimalware Scan Interface (AMSI) в SharePoint и установить Microsoft Defender на все серверы. В тех случаях, когда AMSI невозможно активировать, лучше временно изолировать сервер от интернета. Также рекомендуется использовать Defender for Endpoint для обнаружения и блокировки активности после эксплуатации уязвимости.
