Критическая неисправленная уязвимость нулевого дня (CVE-2025-53770) в Microsoft SharePoint Server подвергает корпоративные сети массовым атакам. Уязвимость, оцененная в 9.8 баллов по шкале CVSS, позволяет удаленное выполнение кода через десериализацию непроверенных данных. Она затрагивает исключительно локальные серверы SharePoint, оставляя SharePoint Online в безопасности.
Microsoft подтвердила факт активной эксплуатации 19 июля 2025 года после обнаружения уязвимости экспертами Viettel Cyber Security через программу Trend Micro Zero Day Initiative (ZDI). Атаки носят «масштабный характер», затронув свыше 75 крупных корпораций и госорганов по всему миру, как заявила компания Eye Security.
CVE-2025-53770 является вариантом ранее исправленной уязвимости спуфинга CVE-2025-49706 (CVSS 6.3), патч для которой выпущен в июле 2025. Эксперты связывают текущую атаку с цепочкой ToolShell, объединявшей CVE-2025-49706 и уязвимость внедрения кода CVE-2025-49704 (CVSS 8.8). Microsoft пока не обновила статус этих CVE в своих рекомендациях.
В качестве временной защиты Microsoft настоятельно рекомендует включить интеграцию с Antimalware Scan Interface (AMSI) и развернуть Defender AV на всех серверах SharePoint. AMSI активирована по умолчанию в обновлениях SharePoint Server 2016/2019 за сентябрь 2023 и версии 23H2 Subscription Edition. Если включение невозможно, сервер необходимо отключить от интернета. Дополнительно советуют использовать Defender для Endpoint для блокировки постэксплуатационных действий.
Злоумышленники применяют PowerShell для доставки ASPX-полезной нагрузки, крадя критически важные MachineKey-конфигурации сервера — ValidationKey и DecryptionKey. «Это позволяет генерировать валидные __VIEWSTATE-пакеты, сохранять постоянный доступ и превращать любой аутентифицированный запрос к SharePoint в удаленное выполнение кода», — поясняют специалисты.
Питер Керкхофс, технический директор Eye Security, предупреждает: «Последствия будут огромными... Злоумышленники быстро перемещаются по сети благодаря удаленному выполнению кода. Мы продолжаем фиксировать массовые волны эксплуатации». Компания обнаружила вредоносные веб-шеллы на серверах почти 75 оповещенных организаций.
Microsoft готовит комплексное обновление для устранения уязвимости. The Hacker News ожидает дополнительных разъяснений от корпорации о статусе эксплуатации связанных CVE.
Изображение носит иллюстративный характер
Microsoft подтвердила факт активной эксплуатации 19 июля 2025 года после обнаружения уязвимости экспертами Viettel Cyber Security через программу Trend Micro Zero Day Initiative (ZDI). Атаки носят «масштабный характер», затронув свыше 75 крупных корпораций и госорганов по всему миру, как заявила компания Eye Security.
CVE-2025-53770 является вариантом ранее исправленной уязвимости спуфинга CVE-2025-49706 (CVSS 6.3), патч для которой выпущен в июле 2025. Эксперты связывают текущую атаку с цепочкой ToolShell, объединявшей CVE-2025-49706 и уязвимость внедрения кода CVE-2025-49704 (CVSS 8.8). Microsoft пока не обновила статус этих CVE в своих рекомендациях.
В качестве временной защиты Microsoft настоятельно рекомендует включить интеграцию с Antimalware Scan Interface (AMSI) и развернуть Defender AV на всех серверах SharePoint. AMSI активирована по умолчанию в обновлениях SharePoint Server 2016/2019 за сентябрь 2023 и версии 23H2 Subscription Edition. Если включение невозможно, сервер необходимо отключить от интернета. Дополнительно советуют использовать Defender для Endpoint для блокировки постэксплуатационных действий.
Злоумышленники применяют PowerShell для доставки ASPX-полезной нагрузки, крадя критически важные MachineKey-конфигурации сервера — ValidationKey и DecryptionKey. «Это позволяет генерировать валидные __VIEWSTATE-пакеты, сохранять постоянный доступ и превращать любой аутентифицированный запрос к SharePoint в удаленное выполнение кода», — поясняют специалисты.
Питер Керкхофс, технический директор Eye Security, предупреждает: «Последствия будут огромными... Злоумышленники быстро перемещаются по сети благодаря удаленному выполнению кода. Мы продолжаем фиксировать массовые волны эксплуатации». Компания обнаружила вредоносные веб-шеллы на серверах почти 75 оповещенных организаций.
Microsoft готовит комплексное обновление для устранения уязвимости. The Hacker News ожидает дополнительных разъяснений от корпорации о статусе эксплуатации связанных CVE.
