Корпорация Microsoft недавно выпустила срочное обновление безопасности, призванное защитить пользователей SharePoint от серьезной уязвимости, связанной с удалённым выполнением кода (RCE). Уязвимость, обозначенная как CVE-2025-53770, получила высочайший рейтинг по шкале критичности CVSS — 9.8, что отражает значительную угрозу для безопасности. Эта уязвимость касается on-premises версий SharePoint Server, что особенно важно для организаций, которые продолжают использовать локальную инфраструктуру, а не облачные сервисы. Она возникает вследствие десериализации непроверенных данных, что позволяет злоумышленникам запускать произвольный код на сервере без необходимости авторизации или доступа к системе.
Активное использование данной уязвимости было зафиксировано с середины июля 2025 года, когда по разным данным было взломано более 50 организаций — банковские учреждения, университеты, государственные структуры и крупные предприятия. Злоумышленники, используя цепочку уязвимостей, именуемую ToolShell, обходят механизмы многофакторной аутентификации и одноразового входа, получая привилегированный доступ к системам. В результате они не только извлекают конфиденциальные данные, но и устанавливают скрытые бекдоры, а также похищают криптографические ключи. Такая глубина проникновения создает реальную угрозу для всей корпоративной инфраструктуры, учитывая тесную интеграцию SharePoint с другими сервисами Microsoft, такими как Office, Teams, OneDrive и Outlook, что расширяет площадь атаки и увеличивает риск масштабных утечек информации. Параллельно с основной уязвимостью CVE-2025-53770 была обнаружена и исправлена вспомогательная проблема — CVE-2025-53771.
Это фрагмент спуфинга, связанный с ошибками ограничения путей к директорям (path traversal), который позволяет злоумышленникам выполнять подмену сетевых операций и внедрять ложные данные. Обе уязвимости были частично связаны с ранее выявленными ошибками CVE-2025-49704 и CVE-2025-49706, что подтверждает комплексность проблемы и ее потенциал для использования в сложных атаках с использованием цепочек эксплоитов. Важным моментом стало опубликованное пояснение Microsoft о различиях в оценках и классификациях уязвимостей. Компания объяснила, что фокусировалась на скорейшем выпуске исправлений, и постепенное уточнение терминологии не влияет на общие рекомендации по обновлению ПО и мерам безопасности. Это подчеркивает надежность предоставленных патчей и актуальность советов по их незамедлительной установке.
Актуальность применения обновлений подтверждается и рекомендациями американского Агентства по кибербезопасности и инфраструктурной безопасности (CISA), которое внесло CVE-2025-53770 в список известных эксплуатируемых уязвимостей (KEV). Для Федеральных агентств США было установлено обязательное требование по установке исправлений к 21 июля 2025 года, что отражает высокую степень риска и необходимость быстрого реагирования. Для организаций, использующих on-premises SharePoint Server в версиях 2016, 2019 и Subscription Edition, критично установить обновления с последними исправлениями, улучшенными по сравнению с предыдущими патчами. Кроме того, в целях снижения вероятности успешной атаки Microsoft настаивает на ротации ASP.NET машинных ключей и перезапуске IIS на всех серверах SharePoint.
Важным элементом защиты является включение интерфейса антивредоносного сканирования (AMSI) с активацией режима Full Mode и использование современных антивирусных решений, таких как Microsoft Defender Antivirus, а также развертывание комплексных решений Endpoint Protection. Практика показала, что одних лишь патчей недостаточно для полной нейтрализации угрозы. Специалисты по кибербезопасности рекомендуют временно отключить доступ к SharePoint с внешней сети, если его невозможно надежно защитить, что позволит избежать распространения атаки до установки необходимых обновлений. Эксперты из Palo Alto Networks акцентируют внимание на том, что успешный взлом SharePoint может стать точкой начала масштабного компрометации целой корпоративной сети с потенциальным распространением на связанные сервисы и приложения Microsoft. Это делает ситуацию особенно опасной для государственных учреждений, образовательных организаций, медицинских структур и крупных бизнесов, которые активно используют SharePoint в своей повседневной деятельности.
В итоге, данный инцидент служит очередным предупреждением о необходимости своевременного применения обновлений безопасности, систематической ротации криптографических ключей и комплексного контроля доступа к критически важным серверным системам. Кроме технических мер, компаниям рекомендуется усилить программу мониторинга инфраструктуры и оперативно реагировать на признаки компрометации, чтобы минимизировать потенциальный ущерб. Особенно важна интеграция современных систем обнаружения вторжений и автоматизация процессов реагирования на инциденты, что позволит повысить общий уровень киберустойчивости организации. Данная ситуация демонстрирует, что ведение бизнеса с использованием ПО с уязвимостями чревато серьезными последствиями, включая возможные утечки конфиденциальной информации и нарушение функционирования ключевых сервисов. Следовательно, безопасность должна стать приоритетом на всех уровнях управления ИТ-инфраструктурой.
