С начала июля 2025 года в киберпространстве развернулась масштабная кампания атак, нацеленная на использование цепочки 0-day уязвимостей в Microsoft SharePoint. Эта серия крайне опасных уязвимостей, получившая название ToolShell, стала предметом внимания как крупных компаний, так и государственных организаций, включая Национальное управление по ядерной безопасности США (NNSA). Эксплуатация слабых мест платформы позволила злоумышленникам обходить новейшие патчи, вызывая серьезные опасения среди экспертов по кибербезопасности по всему миру. 0-day уязвимости, или уязвимости нулевого дня, традиционно представляют особую угрозу, так как их наличие становится известно лишь в момент атаки, до появления официальных способов защиты. В данном случае атакующие смогли объединить два дефекта — CVE-2025-49706 и CVE-2025-49704, тем самым получив возможности для проведения удалённого выполнения кода (RCE) на уязвимых серверах.
Первыми сведения об уязвимостях ToolShell стали доступны в мае 2025 года на хакерском соревновании Pwn2Own Berlin, где специалисты компании Viettel Cyber Security впервые продемонстрировали использование этих брешей. Несмотря на то, что Microsoft оперативно отреагировала, выпустив патчи в июле, злоумышленники смогли обойти исправления, создав новые эксплоиты, привнесшие в арсенал новые слабые места, получившие обозначения CVE-2025-53770 и CVE-2025-53771. Высокий рейтинг в шкале CVSS свидетельствует о серьезности проблем, особенно для организации, которым важна неизменная работа SharePoint и безопасность обмена данных. Microsoft оперативно подготовила и выпустила дополнительные экстренные обновления безопасности для различных версий продукта: SharePoint Subscription Edition, SharePoint 2019 и SharePoint 2016. Вместе с ними были рекомендованы меры по ротации ключей и включению защитных механизмов, таких как Antimalware Scan Interface (AMSI) и Microsoft Defender Antivirus.
Аналитики из разных компаний, включая Cisco Talos, Censys, Check Point, CrowdStrike и другие, зафиксировали десятки пострадавших организаций по всему миру. Эта волна атак выходит далеко за границы отдельных стран и отраслей. В зону риска попали учреждения правительственного сектора, телекоммуникационные фирмы и организации из IT-сферы, в Северной Америке и Западной Европе. Особое внимание специалистов привлекли хакерские группировки из Китая, прежде всего Linen Typhoon (также известная под другими прозвищами: APT27, Bronze Union, Emissary Panda и др.), Violet Typhoon (APT31, Bronze Vinewood, Judgement Panda) и Storm-2603.
Подробные данные об активности этих групп и применении ими уязвимостей ToolShell подтверждают как внутренние источники Microsoft, так и независимые специалисты из Mandiant Consulting при поддержке Google Cloud. Эксперты Check Point утверждают, что первые признаки использования данных уязвимостей атакующими были выявлены уже 7 июля 2025 года. Что особенно тревожно, злоумышленники использовали ряд продвинутых методик постэксплуатации, включая развертывание веб-шеллов с использованием имен spinstall.aspx, spinstall1.aspx, spinstall2.
aspx и туннелирование через популярный сервис ngrok. На фоне этой угрозы на GitHub был опубликован доступный доказательный код эксплоита для уязвимости CVE-2025-53770. Это усложняет ситуацию, поскольку открытый исходный код эксплоита позволяет множеству злоумышленников внедрять его в свои инструментарии, что непременно будет способствовать росту атак. По оценкам компании Eye Security, точное количество пострадавших серверов превысило 400, а число организаций — 148 по всему миру, что подчеркивает масштабность проблемы. Пример с Национальным управлением ядерной безопасности США подчеркивает, что даже самые обеспеченные и оснащенные ведомства не застрахованы от таких инцидентов.
Хотя официальный пресс-секретарь Министерства энергетики США отметил минимальные последствия атаки благодаря широкому использованию облачных сервисов Microsoft 365 и сильным системам обеспечения безопасности, инцидент стал серьёзным предупреждением для всех владельцев SharePoint. Помимо того, что могут ставиться под угрозу конфиденциальные данные и непрерывность бизнес-процессов, подобные атаки несут в себе риск распространения вредоносного ПО и дальнейшей компрометации сетевой инфраструктуры. Рекомендуется незамедлительно применять официальные патчи, регулярно проводить ротацию криптографических ключей, а также интегрировать комплексные решения по защите конечных точек и мониторингу безопасности. Настройка AMSI в полном режиме и подключение надежных антивирусных продуктов поможет обнаружить и заблокировать попытки эксплуатации уязвимостей на ранних этапах. Помимо технических мер, важно усиливать осведомленность IT-персонала и администраторов борьбы с угрозами, чтобы быстро реагировать на изменения в тактиках злоумышленников.
Не менее важна организация регулярного аудита безопасности и анализ индикаторов компрометации (IOC), среди которых выделены конкретные IP-адреса и характерные паттерны вредоносной активности. Сложность атак свидетельствует о высоком уровне подготовки группировок, что требует соответствующего уровня защиты и проактивного подхода. Аналитики безопасности прогнозируют, что количество инцидентов, связанных с атакой ToolShell, будет только расти, учитывая доступность эксплоит-кода и заинтересованность разных хакерских сообществ в достижении своих целей. В современном мире SharePoint является одной из ключевых платформ для совместной работы, хранения документов и организации корпоративных процессов. Угроза таких продвинутых атак подчеркивает необходимость комплексного подхода к кибербезопасности, включающего как своевременное обновление, так и использование передовых средств обнаружения угроз.
В итоге, успешная защита от атак на базе 0-day уязвимостей в SharePoint требует от организаций постоянного внимания, грамотной стратегии и оперативных действий для минимизации рисков. Только так можно гарантировать сохранность данных, стабильность инфраструктуры и безопасность внутренних процессов, что особенно важно в условиях постоянного усложнения кибератак и роста активности хакерских группировок.
