Недавние масштабные атаки на серверы Microsoft SharePoint стали серьезным испытанием для безопасности корпоративных систем по всему миру. Эксперты и исследователи в области кибербезопасности сходятся во мнении, что одной из ключевых причин успешного взлома стала утечка информации, связанная с уязвимостями в SharePoint, что позволило злоумышленникам применять инсайдерские данные для обхода заплаток, выпущенных Microsoft. Эта ситуация вызывает вопросы об эффективности существующих механизмов защиты и внутренних протоколов работы с конфиденциальной информацией в рамках процесса сокращения уязвимостей. В мае 2025 года на знаменитом конкурсе по кибербезопасности Pwn2Own в Берлине исследователь Динь Хо Ань Кхао продемонстрировал метод обхода аутентификации и эксплуатации ошибки в системе десериализации Microsoft SharePoint. Полученная информация была официально передана Microsoft с соблюдением всех правил ответственного разглашения, что дало компании 90 дней для разработки и выпуска исправлений безопасности.
Однако уже в начале июля, почти сразу после выпуска патчей, стало известно о масштабных атаках, направленных на использование выявленных уязвимостей, причем злоумышленники обходили новые меры защиты. Особое беспокойство вызывает тот факт, что массовые атаки начались еще до официального релиза исправлений – за день до публикации патчей. Это свидетельствует о том, что данные об уязвимостях попали в открытый доступ или были переданы злонамеренным лицам через ненадежные каналы. Глава команды Zero Day Initiative (ZDI) в Trend Micro Дастин Чайлдс утверждает, что имела место утечка информации, которая и позволила злоумышленникам создать рабочий эксплойт, обходящий новые меры безопасности Microsoft. Microsoft управляет программой Microsoft Active Protections Program (MAPP), предоставляющей партнерам ранний доступ к информации об известных уязвимостях для оперативного обновления средств защиты.
Однако именно через эту программу, по мнению экспертов, могла произойти утечка, учитывая, что атаки начались вскоре после того, как информация стала доступна ограниченному кругу разработчиков и исследователей через MAPP. В результате компания была вынуждена ускорить выпуск дополнительных обновлений и признала, что первоначально выпущенные патчи были неэффективными против данных атак. Основные виновники данных инцидентов – хакерские группы двух китайских государственно спонсируемых коллективов Linen Typhoon и Violet Typhoon, а также преступная группировка Storm-2603, специализирующаяся на распространении программ-вымогателей. Они воспользовались уязвимостями, обозначенными как CVE-2025-49704 и CVE-2025-49706, позволяющими удаленно выполнить произвольный код и обходить процессы аутентификации на уязвимых серверах SharePoint. Эксперты подчеркивают, что проблема кроется не только в уязвимостях самого программного обеспечения, но и в управлении информацией до и после раскрытия новых угроз.
Координация с партнерами по безопасности, своевременное тестирование патчей и правильное информирование пользователей являются ключевыми элементами для предотвращения подобных инцидентов. Тем не менее, сбоев в любом из этих звеньев цепочки достаточно для того, чтобы злоумышленники получили возможность нанести значительный ущерб. Независимые исследователи также поднимают вопрос о том, что современные инструменты искусственного интеллекта и большие языковые модели, такие как Google Gemini и OpenAI, могут использоваться злоумышленниками для анализа и оптимизации путей эксплуатации уязвимостей. Такая тенденция усложняет борьбу с кибератаками и требует от компаний внедрения новых подходов к защите своих продуктов и информационных систем. Реакция Microsoft на ситуацию была неоднозначной.
Компания отказалась от прямых комментариев по некоторым деталям инцидента, ссылаясь на внутренние процедуры анализа и совершенствования процессов безопасности. Тем не менее, она оперативно выпустила ряд обновлений для всех пострадавших версий SharePoint и усилила мониторинг угроз. Важным уроком для индустрии кибербезопасности стала необходимость прозрачного и скоординированного взаимодействия между поставщиками ПО, исследователями, экспертами и конечными пользователями. Только совместными усилиями возможно создание устойчивых барьеров для современных хакерских атак, особенно в области критически важных корпоративных систем, таких как Microsoft SharePoint. Для организаций, использующих SharePoint, критически важно своевременно устанавливать обновления, тщательно отслеживать предупреждения поставщиков и внедрять комплексные меры защиты, включая сегментацию сети, системные мониторинги и многофакторную аутентификацию.
Обеспечение безопасности также требует постоянного повышения квалификации IT-персонала и осведомленности сотрудников о возможных угрозах и способах их предотвращения. Ситуация с недавней атакой подтверждает, что ни одна система не может быть абсолютно защищена без постоянного контроля и быстрой реакции на возникающие угрозы. Утечка информации, которая, по мнению исследователей, стала отправной точкой для успешных атак на SharePoint, стала своеобразным сигналом для всех игроков индустрии безопасности: доверять канала передачи критически важной информации нужно с крайней осторожностью, а процесс выпуска обновлений должен быть максимально жестким и прозрачным. Предстоящие месяцы, вероятно, станут временем повышенного внимания к вопросам безопасности корпоративных платформ Microsoft, а также внедрения новых политик и практик для предотвращения подобных инцидентов. Для конечных пользователей это время для переосмысления собственных подходов к безопасности и активного взаимодействия с поставщиками технологий.
Таким образом, инцидент с Microsoft SharePoint еще раз продемонстрировал насколько важна безопасность информации, а также как негативно могут сказаться даже незначительные сбои или утечки в процессе управления уязвимостями. Для всего сообщества IT-специалистов это мощный урок, который поможет в будущем создавать более защищенные и устойчивые к угрозам цифровые экосистемы.
![Interview with Cloud Architect in 2025 [video]](/images/264D1DB7-D50E-4EA3-AE37-7DBCE17C7B3D)
