В июле 2025 года специалисты безопасности выявили критическую уязвимость нулевого дня в Microsoft SharePoint Server, которая уже стала объектом масштабной атакующей кампании. Этот баг получил обозначение CVE-2025-53770 с максимальным уровнем опасности — CVSS 9.8. Эксплуатация уязвимости позволяет злоумышленникам выполнять произвольный код на уязвимых серверах без предварительной аутентификации, что представляет крайне серьёзную угрозу для сетевой безопасности организаций. Уязвимость является разновидностью ранее обнаруженной проблемы CVE-2025-49704, для которой был выпущен патч в июльском обновлении безопасности Microsoft.
Однако новая модификация уязвимости обходит этот патч, что напрямую свидетельствует о развитии и усложнении целевых атак. Суть уязвимости связана с десериализацией ненадежных данных на он-премис версиях SharePoint Server. Злоумышленники используют возможность внедрения вредоносного кода через специально подготовленные объекты, обрабатываемые сервером, до момента проверки подлинности пользователя. Такой механизм позволяет получать доступ к системе с повышенными привилегиями, обходя стандартные средства защиты. После успешного проникновения нападающие получают доступ к криптографическим ключам, обеспечивающим целостность и безопасность данных в SharePoint, таким как ValidationKey и DecryptionKey.
Это открывает дверь для подделки запросов и длительного скрытого присутствия внутри корпоративной среды. Сложность выявления и противодействия таким атакам усугубляется способностью злоумышленников маскироваться под легитимные операции SharePoint, что значительно затрудняет мониторинг активности и реагирование на инциденты. По последним данным, более 85 серверов в 29 организациях по всему миру, включая государственные учреждения и международные корпорации, были скомпрометированы и заражены вредоносными веб-шеллами. Удары приходятся на самые критичные сегменты инфраструктуры, подрывая доверие к защитным системам и усложняя восстановление после атак. В официальном заявлении Microsoft отмечается, что SharePoint Online в составе Microsoft 365 не подвержен данной уязвимости.
Компания активно готовит и тестирует обновление безопасности, которое должно закрыть дыру. В временной период до релиза патча пользователям рекомендуется использовать интеграцию с Antimalware Scan Interface (AMSI), активированную по умолчанию в обновлениях SharePoint Server 2016/2019 и Subscription Edition. Включение AMSI вместе с развертыванием Defender Antivirus существенно снижает риск проникновения и последующего повреждения систем. Для организаций, не способных мгновенно применить эти меры, Microsoft советует отключить SharePoint Server от интернет-соединения, снижая возможность удалённого доступа злоумышленников. Также рекомендуется внедрять Defender for Endpoint для мониторинга и блокировки послеэксплуатационной активности и быстрых действий по обнаружению и локализации угроз.
Наряду с уязвимостью CVE-2025-53770, специалисты Eye Security и команда Unit 42 из Palo Alto Networks предупредили о сложных кибератаках, в которых задействованы CVE-2025-49706 и CVE-2025-49704. Последний эксплойт используется в цепочке под кодовым названием ToolShell. Преступники применяют их для обхода механизмов аутентификации, отправляя специальные пост-запросы на endpoint "/_layouts/15/ToolPane.aspx" с поддельным заголовком Referer. Такой подход позволяет внедрять вредоносные ASPX-пayload, которые через PowerShell крадут критически важные MachineKey-конфигурации для сохранения контроля над системой и انتشار атаки в сети.
Криминальный интерес к ключам ValidationKey и DecryptionKey связан с их ролью — они обеспечивают защиту данных, хранящихся в __VIEWSTATE, одной из основных функций ASP.NET. Получив контроль над этими секретами, злоумышленники могут создавать поддельные запросы, получая возможность точно и незаметно управлять сервером с привилегиями, практически не оставляя следов и усложняя очистку после компрометации. Глава Eye Security, Пит Керкхофс, в интервью подчеркнул, что волны массовых атак пока продолжаются и, вероятно, будут иметь серьезные последствия для бизнеса. Быстрое перемещение внутри сетей и масштаб распространения заражений затрудняют оперативное вмешательство и могут привести к длительным простоям и утечкам ценной информации.
Со стороны государственных структур, Агентство по кибербезопасности и инфраструктуре США (CISA) также обратилось к организациям с предупреждением об угрозе, подчеркивая необходимость немедленных действий по снижению рисков. По словам представителя CISA, партнеры в области кибербезопасности оперативно сообщили об эксплуатации уязвимости, благодаря чему удалось инициировать коммуникацию с Microsoft и усилить защитные меры для потенциально пострадавших. В подтверждение серьезности ситуации Microsoft уже выпустила патчи не только для CVE-2025-53770, но и для нового уязвимого места под идентификатором CVE-2025-53771 – оба позволяют дополнительно защитить SharePoint от обхода ранее внедренных программных исправлений. Сообщается, что CVE-2025-53771 содержит расширенные средства предотвращения обхода защиты по сравнению с уязвимостью CVE-2025-49706, что указывает на продолжающееся развитие эксплойтов и усилия по противодействию. Эксперты настоятельно рекомендуют организациям, использующим on-premises версии SharePoint Server, оперативно проверить конфигурацию безопасности, включить все доступные средства защиты и, при наличии возможности, реализовать обновление по мере его появления.
