Microsoft выпустила экстренные патчи 20 июля 2025 года для двух уязвимостей в локальных серверах SharePoint. CVE-2025-53770 (критический, CVSS 9.8) позволяет удалённое выполнение кода из-за десериализации ненадёжных данных. Уязвимость активно эксплуатируется с 18 июля. CVE-2025-53770 связана с ранее исправленными CVE-2025-49704 и CVE-2025-49706; текущие обновления обеспечивают более надёжную защиту.
CVE-2025-53771 (спуфинг, CVSS 6.3) обнаружена анонимным исследователем и связана с обходом ограничений каталогов. Обе уязвимости затрагивают только on-premises версии: SharePoint Server 2019 (16.0.10417.20027), Enterprise Server 2016 (16.0.5508.1000), Subscription Edition и Server Core. SharePoint Online не затронут.
По данным Eye Security, скомпрометированы минимум 54 организации, включая банки, университеты и госучреждения. CISA внесла CVE-2025-53770 в каталог Known Exploited Vulnerabilities, обязав федеральные агентства США устранить её до 21 июля.
Palo Alto Networks Unit 42 фиксирует «высокорисковую продолжающуюся кампанию». Под угрозой правительство, учебные заведения, больницы и корпорации. Майкл Сикорски, CTO Unit 42, предупреждает: «Если ваш SharePoint доступен из интернета — считайте его скомпрометированным». Злоумышленники обходят MFA, похищают данные, внедряют бэкдоры и криптоключи.
Ключевые меры:
При невозможности включить AMSI поверните ключи после установки патчей. Palo Alto рекомендует: «Отключите SharePoint от интернета до обновления».
Сикорски подчёркивает: «Установка патчей недостаточна для нейтрализации угрозы. Ложное чувство безопасности приведёт к массовым компрометациям». Глубокая интеграция SharePoint с Office, Teams и Outlook расширяет зону атаки на всю сеть.
CVE-2025-53771 (спуфинг, CVSS 6.3) обнаружена анонимным исследователем и связана с обходом ограничений каталогов. Обе уязвимости затрагивают только on-premises версии: SharePoint Server 2019 (16.0.10417.20027), Enterprise Server 2016 (16.0.5508.1000), Subscription Edition и Server Core. SharePoint Online не затронут.
По данным Eye Security, скомпрометированы минимум 54 организации, включая банки, университеты и госучреждения. CISA внесла CVE-2025-53770 в каталог Known Exploited Vulnerabilities, обязав федеральные агентства США устранить её до 21 июля.
Palo Alto Networks Unit 42 фиксирует «высокорисковую продолжающуюся кампанию». Под угрозой правительство, учебные заведения, больницы и корпорации. Майкл Сикорски, CTO Unit 42, предупреждает: «Если ваш SharePoint доступен из интернета — считайте его скомпрометированным». Злоумышленники обходят MFA, похищают данные, внедряют бэкдоры и криптоключи.
Ключевые меры:
- Немедленно установите патчи для поддерживаемых версий SharePoint.
- Поверните machine keys на всех серверах и перезапустите IIS.
- Активируйте AMSI в режиме Full Mode.
- Используйте Microsoft Defender или аналоги.
При невозможности включить AMSI поверните ключи после установки патчей. Palo Alto рекомендует: «Отключите SharePoint от интернета до обновления».
Сикорски подчёркивает: «Установка патчей недостаточна для нейтрализации угрозы. Ложное чувство безопасности приведёт к массовым компрометациям». Глубокая интеграция SharePoint с Office, Teams и Outlook расширяет зону атаки на всю сеть.
