Агентство кибербезопасности США (CISA) 22 июля 2025 года внесло две уязвимости Microsoft SharePoint в каталог Known Exploited Vulnerabilities (KEV): CVE-2025-49704 (удаленное выполнение кода) и CVE-2025-49706 (послеаутентификационное RCE). Федеральные агентства обязаны устранить их до 23 июля 2025 года из-за активных атак.
Группы Linen Typhoon и Violet Typhoon, связанные с Китаем, эксплуатируют эти уязвимости с 7 июля 2025 года. Цепочка, названная ToolShell, объединяет спуфинг (CVE-2025-49706) и RCE (CVE-2025-49704), давая хакерам полный контроль над локальными серверами SharePoint.
Microsoft ранее подтвердила эксплуатацию только CVE-2025-53770 (обход аутентификации + RCE), но CISA указывает на более ранние CVE как основу атак. Анализ Akamai показал: CVE-2025-53770 — это комбинация уязвимостей обхода аутентификации (CVE-2025-49706) и небезопасной десериализации (CVE-2025-49704).
Дополнительные уязвимости CVE-2025-53771 (Traversal Path) и CVE-2025-53770 являются патч-байпасами для CVE-2025-49706 и CVE-2025-49704 соответственно. Microsoft подчеркивает: данные в её бюллетенях актуальны «на момент публикации», а CISA обновляет KEV оперативно.
Компания watchTowr Labs выявила опасную тенденцию: злоумышленники обходят защиту Antimalware Scan Interface (AMSI), рекомендованную Microsoft для блокировки неавторизованных атак. Генеральный директор watchTowr Бенджамин Харрис предупреждает: «AMSI никогда не был,,серебряной пулей". Надеяться на него вместо установки патчей — крайне плохая идея».
Харрис подчеркивает: публичные PoC-эксплойты могут срабатывать на AMSI, создавая ложное ощущение защищённости. «Государственные хакеры легко обойдут AMSI. Патчирование — единственное решение», — заявил он. Эксперты настаивают: даже при включённых временных мерах серверы SharePoint остаются уязвимыми без полного обновления.
Изображение носит иллюстративный характер
Группы Linen Typhoon и Violet Typhoon, связанные с Китаем, эксплуатируют эти уязвимости с 7 июля 2025 года. Цепочка, названная ToolShell, объединяет спуфинг (CVE-2025-49706) и RCE (CVE-2025-49704), давая хакерам полный контроль над локальными серверами SharePoint.
Microsoft ранее подтвердила эксплуатацию только CVE-2025-53770 (обход аутентификации + RCE), но CISA указывает на более ранние CVE как основу атак. Анализ Akamai показал: CVE-2025-53770 — это комбинация уязвимостей обхода аутентификации (CVE-2025-49706) и небезопасной десериализации (CVE-2025-49704).
Дополнительные уязвимости CVE-2025-53771 (Traversal Path) и CVE-2025-53770 являются патч-байпасами для CVE-2025-49706 и CVE-2025-49704 соответственно. Microsoft подчеркивает: данные в её бюллетенях актуальны «на момент публикации», а CISA обновляет KEV оперативно.
Компания watchTowr Labs выявила опасную тенденцию: злоумышленники обходят защиту Antimalware Scan Interface (AMSI), рекомендованную Microsoft для блокировки неавторизованных атак. Генеральный директор watchTowr Бенджамин Харрис предупреждает: «AMSI никогда не был,,серебряной пулей". Надеяться на него вместо установки патчей — крайне плохая идея».
Харрис подчеркивает: публичные PoC-эксплойты могут срабатывать на AMSI, создавая ложное ощущение защищённости. «Государственные хакеры легко обойдут AMSI. Патчирование — единственное решение», — заявил он. Эксперты настаивают: даже при включённых временных мерах серверы SharePoint остаются уязвимыми без полного обновления.
