Обнаружено, что критические уязвимости нулевого дня в Microsoft SharePoint (CVE-2025-53770 и CVE-2025-53771) активно эксплуатируются с конца прошлой недели, и по всему миру было компрометировано не менее 85 серверов.
В мае 2025 года исследователи из Viettel Cyber Security объединили два дефекта Microsoft SharePoint, CVE-2025-49706 и CVE-2025-49704 в RCE-атаку ToolShell, которую, продемонстрировали на соревновании Pwn2Own Berlin.
Хотя в июле разработчики Microsoft исправили обе уязвимости ToolShell, злоумышленники сумели обойти исправления с помощью новых эксплоитов. Новые уязвимости получили идентификаторы CVE-2025-53770 (9,8 балла по шкале CVSS; обход патча для CVE-2025-49704) и CVE-2025-53771 (6,3 балла по шкале CVSS; обход патча для CVE-2025-49706) и уже активно используются для атак на on-premises серверы SharePoint.
«Microsoft известно об активных атаках, нацеленных на on-premises пользователей SharePoint Server и эксплуатации уязвимостей, частично исправленных в рамках июльских обновлений безопасности, — сообщается в блоге Microsoft. — Эти уязвимости затрагивают только on-premises серверы SharePoint. SharePoint Online в Microsoft 365 не затронут».
В настоящее время Microsoft выпустила обновление KB5002768 для Microsoft SharePoint Subscription Edition, устраняющее свежие уязвимости. Однако компания все еще работает над обновлениями для Microsoft SharePoint 2019 и 2016.
Администраторам серверов SharePoint, где в настоящее время не установлены исправления или нет возможности их немедленного применения, Microsoft рекомендует установить последние патчи для SharePoint, включить интеграцию AMSI в SharePoint и развернуть Defender на всех серверах. В компании утверждают, что включение этих защитных решений не позволит использовать уязвимости для неаутентифицированных атак.
Кроме того, в компании рекомендуют заменить ключи SharePoint Server ASP.NET после применения обновлений или включения AMSI, так как это не позволит злоумышленникам выполнять команды, даже если взлом уже произошел.
Проверить сервер SharePoint на предмет компрометации можно с помощью файла C:\PROGRA~1\COMMON~1\MICROS~1\WEBSER~1\16\TEMPLATE\LAYOUTS\spinstall0.aspx. Его наличие является признаком взлома.
Атаки на 0-day проблемы в Microsoft SharePoint впервые были выявлены голландской компанией Eye Security. Исследователи заметили первые атаки 18 июля 2025 года, когда EDR одного из клиентов компании сообщил о запуске подозрительного процесса, связанного с загруженным вредоносным файлом .aspx. Логи IIS показали, что был сделан POST-запрос к _layouts/15/ToolPane.aspx с HTTP-реферером /_layouts/SignOut.aspx.
В ходе расследования инцидента было установлено, что злоумышленники использовали показанную на Pwn2Own атаку ToolShell вскоре после того, как компания CODE WHITE GmbH воспроизвела эксплоит, а ИБ-специалист Соруш Далили (Soroush Dalili) поделился техническими подробностями.
Так, в процессе эксплуатации уязвимостей злоумышленники загружают файл spinstall0.aspx, который используется для кражи конфигурации MachineKey сервера SharePoint, включая ValidationKey и DecryptionKey.
«Используя цепочку ToolShell (CVE-2025-49706 + CVE-2025-49704), злоумышленники могут извлекать ValidationKey непосредственно из памяти или конфигурации», — объясняют специалисты Eye Security. — После утечки этого криптографического материала злоумышленник может создавать полностью действительные, подписанные __VIEWSTATE полезные нагрузки с помощью инструмента под названием ysoserial. С помощью ysoserial злоумышленник может генерировать собственные действительные токены SharePoint для RCE».
ViewState используется ASP.NET (именно он лежит в основе SharePoint) для сохранения состояния веб-элементов управления между запросами. Однако если защита ViewState настроена некорректно или скомпрометирован ValidationKey сервера, злоумышленники могут подделать содержимое ViewState и внедрить вредоносный код, который выполнится на сервере при десериализации.
Эксперты Eye Security сообщили изданию Bleeping Computer, что они просканировали интернет в поисках взломанных серверов и обнаружили как минимум 54 организации, которые уже пострадали от атак.
«Хотя суммарно было обнаружено более 85 взломанных серверов SharePoint по всему миру, мы смогли объединить их в кластеры и определить, какие именно организации пострадали», — говорят исследователи.
По данным Eye Security, среди 54 атакованных организаций числятся: частный университет в штате Калифорния, коммерческая энергетическая компания в штате Калифорния, государственная организация в сфере здравоохранения, коммерческая компания по разработке ИИ-технологий, коммерческая финтех-компания в штате Нью-Йорк и государственная организация в штате Флорида.
Также об эксплуатации уязвимостей предупреждают специалисты Google Threat Intelligence Group (TAG):
«Google Threat Intelligence Group обнаружила, что злоумышленники используют уязвимости для установки веб-шеллов и кражи криптографических секретов с серверов жертв. Это обеспечивает постоянный неавторизованный доступ и представляет значительный риск для пострадавших организаций», — сообщили специалисты TAG.