28/07/25
Эксперты Kaspersky GReAT (Глобального центра исследования и анализа угроз в «Лаборатории Касперского») изучили масштабную кибератаку на серверы Microsoft SharePoint. Специалисты проанализировали эксплойт ToolShell, который использовали злоумышленники, и выявили его сходство с эксплойтом для CVE-2020-1147 — уязвимости, которая была обнаружена в SharePoint ещё пять лет назад. Это позволило предположить, что обновление Microsoft, устраняющее CVE-2025-53770, фактически является полноценным исправлением для CVE-2020-1147, которая, вероятно, была не до конца закрыта в 2020 году.
Сходство новых уязвимостей с CVE-2020-1147 подтвердилось после анализа CVE-2025-49704 и CVE-2025-49706. Хотя их исправили 8 июля 2025 года, исследование показало, что защиту можно было легко обойти, просто добавив в код эксплойта всего один символ — «/». Когда Microsoft узнала об активной эксплуатации этих уязвимостей, компания выпустила обновление, устраняющее возможные методы обхода, и присвоила им идентификаторы CVE-2025-53770 и CVE-2025-53771.
По данным телеметрии «Лаборатории Касперского», попытки эксплуатации уязвимостей в SharePoint затронули предприятия по всему миру, в том числе в России, Египте, Иордании, Вьетнаме и Замбии. Кибератаки фиксировались в самых разных сферах, включая финансовый и госсектор, промышленности, а также лесное и сельское хозяйство. Защитные решения «Лаборатории Касперского» — Kaspersky NGFW* и Kaspersky Symphony XDR — детектировали и блокировали попытки эксплуатации уязвимостей в SharePoint ещё до публикаций Microsoft.
«Злоумышленники продолжают использовать многие известные уязвимости, например ProxyLogon, PrintNightmare и EternalBlue, даже спустя годы после их обнаружения. Поэтому системы, на которые не были своевременно установлены обновления, остаются под угрозой. Вероятно, в случае с ToolShell мы увидим аналогичный сценарий. Опубликованный эксплойт очень прост в эксплуатации и вскоре может быть интегрирован в популярные инструменты для осуществления кибератак», — комментирует Борис Ларин, ведущий эксперт Kaspersky GReAT.
Подробнее — на Securelist.
Для защиты от этой угрозы «Лаборатория Касперского» рекомендует организациям, которые используют Microsoft SharePoint:
- регулярно и своевременно обновлять программное обеспечение на всех устройствах, чтобы предотвращать проникновение злоумышленников во внутреннюю сеть с использованием уязвимостей;
- использовать комплексное решение для обеспечения кибербезопасности, например из линейки Kaspersky Symphony. Продукты, входящие в её состав, обеспечивают видимость угроз и защиту в режиме реального времени, предоставляют возможности уровня EDR и XDR для исследования и реагирования на них. Они подходят для организаций любого размера и отрасли.
- использовать межсетевой экран нового поколения, например Kaspersky NGFW*, который поможет заблокировать попытки эксплуатации уязвимостей.
