0day‑атака на SharePoint: Microsoft снова не успела — ключи уже в чужих руках

уязвимость SharePoint Microsoft атака десериализация ключ сервер
0day‑атака на SharePoint: Microsoft снова не успела — ключи уже в чужих руках
уязвимость SharePoint Microsoft атака десериализация ключ сервер

Украденные ключи делают патчи бессмысленными.

image

В Microsoft SharePoint Server обнаружена критическая уязвимость , которую уже начали использовать в ходе масштабной хакерской кампании. Речь идёт о нулевом дне с идентификатором CVE-2025-53770, которому присвоена угрожающая оценка 9.8 балла из 10. Этот баг представляет собой усовершенствованную версию более ранней уязвимости CVE-2025-49706 , устранённой в июльском обновлении Microsoft.

Проблема связана с тем, как сервер SharePoint обрабатывает недоверенные данные: механизм десериализации позволяет злоумышленнику удалённо выполнить произвольный код до прохождения аутентификации. Microsoft подтверждает, что атаки уже ведутся и затрагивают локальные версии SharePoint Server. Облачный SharePoint Online уязвимости не подвержен.

После проникновения в систему атакующие крадут криптографические ключи, позволяющие подделывать внутренние данные SharePoint и маскироваться под легитимную активность. Это затрудняет обнаружение вторжений и реагирование на них. Компания Eye Security отмечает, что злоумышленники активно используют PowerShell для загрузки вредоносных ASPX-скриптов, с помощью которых извлекаются параметры MachineKey — ключи валидации и шифрования, отвечающие за безопасность внутренних структур, таких как __VIEWSTATE.

Скомпрометированные ключи позволяют формировать поддельные запросы, которые сервер принимает за подлинные, открывая путь к удалённому выполнению кода даже после установки стандартных обновлений. Это делает традиционные патчи недостаточной мерой защиты — обновление не меняет украденные секреты, и системы остаются уязвимыми.

На данный момент зафиксировано более 85 взломанных серверов SharePoint в разных странах. В список пострадавших входят 29 организаций, включая международные корпорации и государственные структуры.

Microsoft заявляет, что готовит комплексное обновление, которое должно закрыть уязвимость, и благодарит исследователей из Viettel Cyber Security, обнаруживших проблему. В качестве временной меры пользователям рекомендуется включить интеграцию Antimalware Scan Interface (AMSI) в SharePoint и установить Microsoft Defender на все серверы. В тех случаях, когда AMSI невозможно активировать, лучше временно изолировать сервер от интернета. Также рекомендуется использовать Defender for Endpoint для обнаружения и блокировки активности после эксплуатации уязвимости.

Тем временем исследователи из Eye Security и Palo Alto Networks сообщают о цепочке атак, где CVE-2025-49706 используется совместно с другой уязвимостью — CVE-2025-49704 , что позволяет выполнить произвольные команды на серверах. Этот метод получил название ToolShell. По их данным, небольшое изменение — указание "_layouts/SignOut.aspx" в HTTP-заголовке Referer — превращает CVE-2025-49706 в новую, более опасную версию CVE-2025-53770 .

Хотя Microsoft пока не обновила официальные бюллетени по CVE-2025-49706 и CVE-2025-49704 с учётом факта активной эксплуатации, эксперты предупреждают: атаки продолжаются и масштабируются. По словам технического директора Eye Security Пита Керкхофса, злоумышленники перемещаются внутри сетей с высокой скоростью, используя уязвимость как главный таран