В июле 2025 года было обнаружено активное использование хакерами критической уязвимости нулевого дня в Microsoft SharePoint, что привело к серьезному риску для тысяч организаций по всему миру. Сообщается, что атаки начались как минимум 7 июля и направлены на кражу ключей шифрования с целью сохранения устойчивого доступа к целевым серверам. Доклад об этом инциденте представила компания Check Point Research, отметившая, что первыми жертвами стали представители одного крупного западного правительства. Активность хакеров вскоре возросла и распространилась на более широкий круг секторов, включая телекоммуникации и программное обеспечение, в Северной Америке и Западной Европе. В ходе расследования было установлено, что атаки исходят с трех уникальных IP-адресов, один из которых ранее связывали с эксплуатацией уязвимостей в продуктах Ivanti Endpoint Manager Mobile.
Уязвимость CVE-2025-53770, являющаяся удаленной возможностью выполнения кода, стала ключевой в последних нападениях. Она связана с неправильной обработкой SharePoint Server небезопасных данных, которая позволяет злоумышленникам выполнять код без аутентификации на целевой системе. Эта брешь позволяет размещать вредоносные ASP.NET веб-шеллы, которые автоматически извлекают чувствительные криптографические данные. В частности, уделяется особое внимание краже и последующему использованию ValidationKey и DecryptionKey – машинных ключей, необходимых для создания и подписания вредоносных ViewState объектов.
Благодаря этому хакеры могут сохранять доступ к системам после применения патчей Microsoft, а также выполнять произвольные команды на сервере. Спектр жертв настолько широк, что телеметрия Bitdefender демонстрирует выявленные случаи использования данной уязвимости в США, Канаде, Германии, Южной Африке, Нидерландах и других странах, что свидетельствует о глобальном характере атаки. Аналитики Palo Alto Networks Unit 42 подробно описали этапы атаки, начиная с запроса к SharePoint с целью записи «spinstall0.aspx» – веб-шелла, выступающего не традиционным инструментом доступа, а средством сбора криптографических ключей и информации о режиме работы сервера. Именно эту страницу хакеры применяют для получения MachineKey, который позволяет им создавать поддельные токены аутентификации и поддерживать постоянный контроль над инфраструктурой, включая балансируемые серверы.
Отдельно стоит отметить такой теневой метод, как инъекция в память .NET модулей без записи вредоносных файлов на диск, что существенно затрудняет обнаружение и постфактумный анализ атаки. Этот подход был замечен в одной из кластерных групп злоумышленников и говорит о высоком уровне мастерства и стремлении к скрытности. Мировые лидеры в сфере кибербезопасности подчёркивают, что среди вероятных виновников атак – хакерские группы, имеющие связь с Китаем. Google-инструменты Mandiant и другие исследовательские команды подтверждают факт нацеливания на стратегически важные секторы, а именно на организации, связанные с технологиями, проектированием и критической инфраструктурой.
Таким образом, SharePoint остаётся лакомым кусочком для хакеров, поскольку в нем часто хранятся критически важные бизнес-данные и ключи криптографии, применяемые для защиты приложений и пользовательских сессий. При этом сама природа уязвимостей указывает на методики обхода существующих мер защиты, что ставит перед ИТ-специалистами задачу как можно скорее обновить программное обеспечение, сменить криптографические ключи и перезапустить серверы SharePoint для минимизации рисков. Важным уроком после выявления этой масштабной атаки является то, что патчи, выпущенные в начале июля для CVE-2025-49704 и CVE-2025-49706, оказались недостаточными. Самые свежие уязвимости CVE-2025-53770 и CVE-2025-53771 представляют собой эволюцию предыдущих, позволяющие злоумышленникам обходить первоначальные исправления. Microsoft уже выпустила более надежные обновления, однако организациям следует применять их срочно и предусматривать дополнительные меры безопасности для предотвращения эксплуатации.
К сожалению, количество онлайн SharePoint серверов, их конфигурации и возможная уязвимость остаются неполностью известными, что подчеркивает важность регулярного мониторинга систем и внедрения современных систем обнаружения и предотвращения вторжений. В свете произошедших событий эксперты рекомендуют тщательно отслеживать подозрительную активность, использовать многофакторную аутентификацию, а также внедрять практики ротации ключей и обновления систем на постоянной основе. Стремительные и изощренные методы злоумышленников, включая использование веб-шеллов для добычи ключей и бездисковых атак, демонстрируют новую волну угроз, против которой традиционные механизмы защиты могут оказаться бессильны. Поэтому предпринять заранее профилактические меры и обратить особое внимание на безопасность SharePoint стали насущной необходимостью для организаций любого масштаба. Помимо технической составляющей, профессионалы советуют усилить обучение сотрудников и повысить киберграмотность внутри компаний, чтобы минимизировать риски фишинг-атак и социальной инженерии, которые часто служат начальным этапом сложных многоэтапных кибератак.
В итоге выявленная и активно эксплуатируемая уязвимость нулевого дня в SharePoint стала серьезным сигналом тревоги для международного сообщества по кибербезопасности. В условиях роста числа целенаправленных атак на корпоративные и государственные информационные системы настоятельно рекомендуется регулярно обновлять инфраструктуру, уделять внимание безопасности ключевых компонентов и анализировать поведенческие признаки подозрительной активности для своевременного реагирования на угрозы.
