Utilizatorii Microsoft Sharepoint sunt, din nou, sub atac. De data aceasta, amenințarea nu se limitează la utilizatorii Outlook. Vulnerabilitatea identificată acum ca CVE-2025-53770 a fost sub un „atac în masă” confirmat, iar servere ale companiei din întreaga lume au fost compromise, potrivit Forbes.
Microsoft a lansat luni actualizări de securitate de urgență care protejează clienții care folosesc SharePoint Subscription Edition și SharePoint 2019 împotriva riscurilor reprezentate de CVE-2025-53770, și CVE-2025-53771.
„Clienții ar trebui să aplice aceste actualizări imediat pentru a se asigura că sunt protejați”, a declarat Microsoft.
Microsoft Sharepoint este un serviciu folosit de agenții guvernamentale, companii și instituții din toată lumea pentru partajarea documentelor. Hackerii exploatează o vulnerabilitate necunoscută până acum (“zero-day”), nu se știe de cât timp.
Microsoft confirmă atacurile asupra serverului SharePoint CVE-2025-53770
CVE-2025-53770, care se mai numește și ToolShell, este o vulnerabilitate critică în SharePoint on-premises. Rezultatul final al acesteia este capacitatea atacatorilor de a obține acces și control asupra serverelor respective fără autentificare.
„Riscul nu este teoretic”, au avertizat cercetătorii, „atacatorii pot executa cod de la distanță, ocolind protecțiile de identitate precum MFA sau SSO”.
Odată ce au reușit, ei pot apoi „să acceseze tot conținutul SharePoint, fișierele de sistem și configurațiile și să se deplaseze lateral prin domeniul Windows”.
Și mai există și furtul de chei criptografice. Conform raportului, acest lucru poate permite unui atacator „să se dea drept utilizatori sau servicii”, „chiar și după ce serverul este reparat”.
Potrivit oficialilor guvernamentali și specialiștilor, atacurile au vizat agenții federale și statale din SUA, o agenție guvernamentală din Spania, universități din SUA și din alte țări, companii din domeniul energiei și o companie de telecomunicații (nenumită) din Asia.
Acest atac este unul de tip „zero day„, ceea ce înseamnă că vizează o vulnerabilitate necunoscută anterior de către Microsoft, ceea ce pune astfel mii de servere în pericol.
Atacul poate duce la „furtul de date, colectarea parolelor și mișcarea laterală în rețea”
Deci, chiar și atunci când un patch este lansat în cele din urmă, și m-aș aștepta la o actualizare de urgență pentru a ajunge destul de repede pentru aceasta, problema nu este rezolvată. După cum s-a explicat, „va trebui să rotiți secretele, permițând tuturor jetoanelor viitoare care pot fi create de actorul rău intenționat să devină invalide”.
Și, bineînțeles, deoarece SharePoint se va conecta adesea la alte servicii de bază, inclusiv Outlook și Teams, sau OneDrive, amenințarea, dacă este exploatată, poate și va duce la „furtul de date, colectarea parolelor și mișcarea laterală în rețea”, au avertizat cercetătorii.
Actualizări de urgență emise de Microsoft
Microsoft a lansat acum patch-uri de urgență pentru SharePoint Server 2019 și Subscription Edition. O actualizare pentru SharePoint Server 2016 este în prezent în curs de dezvoltare, dar va urma în scurt timp. Clienții care utilizează aceste versiuni sunt sfătuiți să instaleze imediat actualizările disponibile. Dacă acest lucru nu este posibil, Microsoft recomandă deconectarea temporară de la internet a serverelor afectate pentru a preveni daune suplimentare.
Pentru a atenua atacurile ulterioare, Microsoft recomandă activarea AMSI (Antimalware Scan Interface) și instalarea Defender Antivirus pe toate serverele SharePoint. AMSI este activată implicit din septembrie 2023, dar în unele cazuri trebuie verificată manual. În plus, compania recomandă rotirea cheilor de mașină ASP.NET după aplicarea actualizărilor sau activarea AMSI. Acest lucru previne ca cheile de validare furate anterior să fie utilizate de părți rău intenționate.
Agenția americană pentru securitate cibernetică și securitatea infrastructurii (CISA) a adăugat acum vulnerabilitatea în catalogul său de amenințări cunoscute și solicită agențiilor guvernamentale să ia măsuri în termen de 24 de ore de la punerea la dispoziție a unui patch. Mai multe companii de securitate cibernetică, inclusiv Dutch Eye Security, au confirmat acum zeci de breșe în organizații comerciale și publice din întreaga lume.
Microsoft a împărtășit în documentația sa tehnică instrucțiuni privind modul de verificare a compromiterii unui server SharePoint. Sistemele în care fișierul suspect „spinstall0.aspx” este prezent sau solicitările HTTP suspecte sunt înregistrate în jurnalele IIS trebuie considerate compromise. Organizațiile sunt sfătuite să înceapă imediat o investigație criminalistică și să deconecteze sistemele afectate.
Ştiri video recomandate
