Microsoft недавно обнародовала важные сведения о новых методах атак хакеров, нацеленных на серверы Microsoft SharePoint. В частности, сообщается, что злоумышленники начали активно использовать уязвимости в on-premises версиях SharePoint для внедрения вредоносного вымогательского программного обеспечения — ransomware. Эта тенденция вызывает серьезные опасения среди IT-специалистов и менеджеров по безопасности, поскольку SharePoint является важной платформой для совместной работы и хранения критически важных данных в компаниях и государственных организациях по всему миру. В последние годы Microsoft уделяет особое внимание защите облачных сервисов, в том числе SharePoint Online, однако на сегодняшний день именно локальные серверные инсталляции SharePoint испытывают на себе основную нагрузку атак. Хакеры используют несколько новых и ранее известных уязвимостей, среди которых CVE-2025-49706 и CVE-2025-49704, позволяющих получить несанкционированный удаленный доступ и выполнить произвольный код на целевых серверах.
Эксплуатация этих дыр в безопасности позволяет злоумышленникам обходить аутентификацию, загружать вредоносные веб-оболочки и в конечном итоге запускать процедуры шифровки данных с целью вымогательства крупных сумм денег. По данным Microsoft Threat Intelligence, за атаками стоят несколько отдельных групп киберпреступников, включая китайские хакерские объединения Linen Typhoon и Violet Typhoon, а также группу Storm-2603, которая впервые была замечена в развертывании так называемого Warlock ransomware после успешного проникновения. Особую обеспокоенность вызывает активное использование именно этой группы вымогательского ПО, поскольку Warlock отличается продвинутыми функциями скрытия, быстрой пропагандой по сети организации и комплексным подходом к уничтожению резервных копий. Первыми этапами атаки становится сканирование интернета на предмет серверов SharePoint, доступных из внешней сети без достаточной защиты. При выявлении уязвимых инсталляций осуществляется отправка специально сформированных HTTP POST-запросов к критическим точкам SharePoint, например «ToolPane», с целью предоставления доступа к серверу через веб-оболочку.
Получив контроль, злоумышленники крадут параметры конфигурации, включая MachineKey, что позволяет им распространять влияние в инфраструктуре и обходить механизмы безопасности. Постэксплуатационная деятельность группировок состоит в установке и маскировке вредоносных компонентов, отключении средств защиты Microsoft Defender через внесение изменений в реестр, краже учетных данных с помощью инструментов класса Mimikatz и передвижении внутри корпоративной сети с помощью PsExec и WMI. Все эти действия служат подготовительным этапом для развертывания вымогательского ПО с целевым шифрованием файлов и принуждением администраций к выплате выкупа. Для информационной безопасности организаций чрезвычайно важно оперативно внедрять выходящие от производителя обновления безопасности. Microsoft уже выпустила патчи для всех поддерживаемых версий SharePoint Server Subscription Edition, 2019 и 2016 годов, устраняющие обнаруженные уязвимости CVE-2025-53770 и CVE-2025-53771, а также связывающиеся с ранее выявленными проблемами.
Помимо установки обновлений, настоятельно рекомендуется активировать интеграцию Антивирусного интерфейса сканирования (AMSI) и использовать Microsoft Defender Antivirus в режиме полной защиты. Еще одним важным шагом для снижения рисков является политика ротации MachineKey и обязательная перезагрузка служб IIS после внедрения патчей. Это позволяет сбросить скомпрометированные ключи аутентификации на сервере и уменьшить вероятность повторного компрометации. Кроме того, необходимо включать централизованные средства защиты и обнаружения угроз, такие как Microsoft Defender for Endpoint и системы корреляции событий Microsoft Sentinel, которые помогают вовремя выявлять подозрительную активность и реагировать на инциденты. В условиях современной цифровой трансформации, когда многие компании продолжают хранить чувствительную информацию на локальных серверах, чрезвычайно важно сохранять высокий уровень кибербезопасности.
Атаки через SharePoint демонстрируют, как злоумышленники быстро адаптируются к новым уязвимостям и внедряют в свои атаки методы с использованием вымогательского программного обеспечения, что значительно увеличивает финансовые и репутационные риски. Соблюдение рекомендаций Microsoft по безопасной эксплуатации SharePoint, своевременное обновление программного обеспечения и комплексное внедрение современных средств защиты позволяют существенно повысить уровень устойчивости информационных систем. Пользователям и администраторам следует активно мониторить актуальную информацию по индикаторам компрометации, предоставляемую поставщиком, и внедрять процессы проактивного обнаружения угроз для предотвращения возможных вторжений. В заключение стоит подчеркнуть, что киберпреступные группы, использующие SharePoint-уязвимости для распространения ransomware, становятся одной из значимых угроз корпоративной безопасности. Их тактика включает эскалацию привилегий, обход средств защиты и быстрые действия, направленные на максимальный ущерб бизнесу.
Только системный и вовремя реализованный подход к безопасности серверов SharePoint способен защитить критически важные данные и сохранить работоспособность организаций в сложных условиях информационной безопасности современного мира.
