Срочно обновите Microsoft SharePoint | Блог Касперского

Злоумышленники активно эксплуатируют уязвимости CVE-2025-53770 и CVE-2025-53771, чтобы получить контроль над серверами Microsoft SharePoint.

Неизвестные злоумышленники активно атакуют серверы организаций, на которых установлены SharePoint Server 2016, SharePoint Server 2019 и SharePoint Server Subscription Edition. Благодаря эксплуатации цепочки из двух уязвимостей — CVE-2025-53770 (рейтинг CVSS — 9,8) и CVE-2025-53771 (рейтинг CVSS — 6,3), атакующие получают возможность запустить на сервере вредоносный код. Об опасности ситуации говорит тот факт, что патчи для уязвимостей были выпущены Microsoft поздно вечером в воскресенье. Для защиты инфраструктуры исследователи рекомендуют как можно скорее установить обновления.

Суть атаки через CVE-2025-53770 и CVE-2025-53771

Эксплуатация этой пары уязвимостей позволяет неаутентифицированным атакующим захватить контроль над серверами SharePoint, а следовательно, не только получить доступ ко всей хранящейся на них информации, но и использовать серверы для развития атаки на остальную инфраструктуру.

Исследователи из EYE Security утверждают, что еще до публикации бюллетеней от Microsoft видели две волны атак при помощи этой цепочки уязвимостей, в результате которых были скомпрометированы десятки серверов. Атакующие устанавливают на уязвимые серверы SharePoint веб-шеллы, а также похищают криптографические ключи, которые позднее могут позволить им выдавать себя за легитимные сервисы или пользователей. Благодаря этому они смогут получить доступ к скомпрометированным серверам даже после того, как уязвимость будет закрыта, а зловреды уничтожены.

Связь с уязвимостями CVE-2025-49704 и CVE-2025-49706

Исследователи обратили внимание, что эксплуатация цепочки уязвимостей CVE-2025-53770 и CVE-2025-53771 очень похожа на продемонстрированную в мае, в рамках хакерского соревнования Pwn2Own в Берлине, цепочку ToolShell из двух других уязвимостей, CVE-2025-49704 и CVE-2025-49706. Они были закрыты ранее выпущенными патчами, но как видно — неидеально.

По всем признакам, новая пара уязвимостей — это обновленная цепочка ToolShell, а точнее обход закрывающих ее патчей. Это подтверждается и ремарками Microsoft в описании новых уязвимостей: «Да, обновление для CVE-2025-53770 обеспечивает более надежную защиту, чем обновление для CVE-2025-49704, а обновление для CVE-2025-53771 — более надежную защиту, чем обновление для CVE-2025-49706».

Как оставаться в безопасности

Первым делом необходимо установить патчи, причем прежде чем накатывать выпущенные вчера экстренные обновления, необходимо установить плановые июльские KB5002741 и KB5002744. На момент публикации этого материала патчей для SharePoint 2016 нет, поэтому если вы все еще используете эту версию сервера, придется ограничиться компенсирующими мерами.

Также следует убедиться, что на серверах установлены надежные защитные решения, а интерфейс AMSI (Antimalware Scan Interface), служащий для взаимодействия приложений и служб Microsoft с работающими ИБ-продуктами, включен.

Исследователи рекомендуют заменить machine keys в ASP.NET серверов SharePoint (как это сделать, можно прочитать в подробных рекомендациях от Microsoft), а также прочие криптографические ключи и учетные данные, которые могли быть доступны с уязвимого сервера.

Если у вас есть основания подозревать, что ваши серверы SharePoint были подвержены атаке, рекомендуется проверить их на наличие индикаторов компрометации. В первую очередь обратите внимание на присутствие вредоносного файла spinstall0.aspx.

Если у вашей внутренней команды реагирования на инциденты не хватает собственных ресурсов для выявления признаков компрометации или ликвидации последствий инцидента, рекомендуем обратиться к сторонним экспертам.

21.07.2025