Сто компаний уже пали. Нулевой день SharePoint вышел из-под контроля

Microsoft SharePoint CVE-2025-53770 Eye Security Shadowserver кибершпионаж уязвимость
Сто компаний уже пали. Нулевой день SharePoint вышел из-под контроля
Microsoft SharePoint CVE-2025-53770 Eye Security Shadowserver кибершпионаж уязвимость

Чем больше обновлений ставят админы, тем сильнее маскируются уже внедрённые бэкдоры.

image

Пару дней назад мы писали о критической уязвимости нулевого дня CVE-2025-53770 в Microsoft SharePoint Server, которая представляет собой усовершенствованную версию бага CVE-2025-49706 . Тогда было известно, что проблема связана с десериализацией недоверенных данных, позволяющей выполнить произвольный код до аутентификации, а также что злоумышленники уже активно использовали эксплойт в атаке против более чем 85 серверов. Теперь ситуация значительно обострилась — масштабы хакерской кампании оказались куда шире, чем предполагалось.

Как стало известно, в настоящее время подтверждена компрометация как минимум 100 организаций, в числе которых — международные корпорации и правительственные учреждения. Об этом сообщили представители компании Eye Security, первой обнаружившей следы атаки у одного из своих клиентов, а также некоммерческий проект Shadowserver Foundation, проводивший масштабное сканирование сетей. Их данные говорят о широком охвате: жертвы находятся преимущественно в США и Германии, но общая география значительно шире.

Атака использует уязвимость нулевого дня в локальных инсталляциях SharePoint Server, позволяя внедрить бэкдор в инфраструктуру и закрепиться в сети жертвы. По данным Eye Security, после проникновения злоумышленники похищают криптографические ключи — в частности, MachineKey, отвечающие за валидацию и шифрование, и используют их для подделки легитимного трафика. Таким образом, вредоносные запросы воспринимаются системой как допустимые, и атака продолжается даже после установки обновлений. Это делает стандартные защитные меры неэффективными.

В своём отчёте специалисты подчёркивают, что эксплойт внедряется до прохождения проверки подлинности, а уже внутри системы используются PowerShell-скрипты и вредоносные ASPX-файлы, которые выгружают необходимые параметры из памяти. Такой подход даёт злоумышленникам возможность перемещаться внутри сети с высокой скоростью и запускать произвольный код без необходимости повторного взлома.

По оценкам Shadowserver, в зоне риска могут находиться до 9000 SharePoint-серверов, открытых для интернет-доступа. Среди потенциальных целей — промышленные компании, банки, аудиторы, медицинские организации и органы власти. Представитель британской PwnDefend заявил, что ситуация требует не только установки обновлений, но и проведения полного аудита систем, поскольку сам факт наличия уязвимости может уже означать скрытую компрометацию.

В Microsoft подтвердили наличие атак, сообщили о выпуске обновлений и призвали срочно их устанавливать. Однако в компании подчеркнули, что использование лишь стандартных исправлений не гарантирует устранение угрозы, если злоумышленники уже получили доступ к ключевым данным. В качестве временной меры предлагается включение Antimalware Scan Interface (AMSI), установка Microsoft Defender и, в крайнем случае, изоляция серверов от интернета.

В то же время, специалисты Eye Security и Palo Alto Networks продолжают наблюдать цепочку атак, в которой CVE-2025-49706 используется в связке с уязвимостью CVE-2025-49704 . Сочетание этих эксплойтов позволяет выполнять команды на сервере с минимальными изменениями запроса. Как выяснилось, одно лишь указание в заголовке Referer пути «_layouts/SignOut.aspx» превращает CVE-2025-49706 в полноценную версию CVE-2025-53770. Именно эта техника сейчас и используется злоумышленниками в кампаниях по всему миру.

Сейчас остаётся неизвестным, кто именно стоит за атаками. Однако Google, обладая доступом к глобальному трафику, связывает часть активности с хакерской группой, действующей из Китая. Представители китайского посольства, как и прежде, не прокомментировали эти обвинения. В то же время ФБР и Национальный центр кибербезопасности Великобритании подтвердили, что следят за ситуацией и взаимодействуют с частными и государственными партнёрами для оценки последствий.

Сложившаяся ситуация требует от организаций, использующих SharePoint Server, не только срочного обновления, но и пересмотра подхода к безопасности. Простая установка заплаток теперь не спасает — если система уже скомпрометирована, требуется глубокая проверка инфраструктуры, а в ряде случаев — её полная изоляция.