Microsoft не успела: эксплойт в SharePoint пошёл в бой до патча

Microsoft признала, что июльские обновления безопасности не устранили все уязвимости в локальных версиях SharePoint, которые позволяют злоумышленникам удалённо исполнять код. В результате атаки продолжаются, и эксперты считают, что произошло несанкционированное распространение информации об эксплойте до выхода патча.

Загадка в том, как злоумышленники — включая китайских хакеров, кибершпионов и операторов программ-вымогателей — узнали, как использовать уязвимость так, чтобы обойти исправление, выпущенное уже на следующий день.

«Где-то произошла утечка», — рассказал в интервью The Register Дастин Чайлдс, руководитель отдела анализа угроз в Zero Day Initiative (ZDI) компании Trend Micro. — «Теперь в дикой среде используется эксплойт нулевого дня — и что ещё хуже, эксплойт, который обходит патч, вышедший на следующий день».

Началось всё в мае на сцене соревнования Pwn2Own в Берлине, которое ZDI проводит дважды в год. 16 мая вьетнамский исследователь Dinh Ho Anh Khoa продемонстрировал эксплойт для Microsoft SharePoint, объединив уязвимость обхода аутентификации с багом небезопасной десериализации. За это он получил $100 000. Однако демонстрация на сцене — это лишь часть процедуры. После выступления исследователь и представители компании уходят в отдельную комнату, где эксперт передаёт подробное техническое описание уязвимости и метода эксплуатации. Если баг уникален, разработчику предоставляется 90 дней на выпуск исправлений.

Microsoft получила полный отчёт об уязвимости в день презентации, утверждает Чайлдс. Тем не менее, массовая эксплуатация началась уже 7 июля, тогда как официальное раскрытие CVE произошло только 8 июля. Были опубликованы две уязвимости: CVE-2025-49704 (удалённое выполнение кода без аутентификации) и CVE-2025-49706 (подмена данных). Обновления безопасности вышли одновременно, но уже после начала атак.

Сроки в целом соответствовали политике координированного раскрытия — 60 дней от момента передачи отчёта, — однако, по словам Чайлдса, утечка всё изменила: «что пошло не так — так это то, что произошла утечка».

Одно из возможных объяснений — компрометация программы Microsoft Active Protections Program (MAPP). Microsoft предоставляет партнёрам, подписавшим NDA, ранний доступ к информации о предстоящих патчах за 14 дней до выхода (так называемый r-14). В июле эта дата пришлась на 24 июня. Уже 7 июля начались атаки, а 8-го — вышли патчи, которые, как выяснилось позже, легко обходятся.

По словам Чайлдса, любой, кто получил данные о CVE в рамках MAPP, мог заметить, что исправление охватывает уязвимость недостаточно полно. Эксперты ZDI подтвердили, что обход аутентификации был реализован слишком узко.

18 июля компания Eye Security опубликовала анализ масштабных атак с использованием новой цепочки уязвимостей в SharePoint. Уже 19 июля Microsoft выпустила экстренное предупреждение о наличии нулевого дня в трёх версиях SharePoint и признала, что предыдущие патчи оказались неэффективны.

21 июля компания выпустила дополнительные обновления, в том числе для SharePoint 2016 . Но к тому моменту, по данным Microsoft, более 400 организаций были атакованы. За атаками стоят как минимум две китайские хак-группы — Linen Typhoon и Violet Typhoon, — а также группировка Storm-2603 , использовавшая уязвимости для распространения программ-вымогателей .

В Microsoft отказались отвечать на конкретные вопросы The Register, но заявили, что проанализируют инцидент и «внесут улучшения в процессы».

Инженер команды специальных операций Tenable Satnam Narang в разговоре с The Register предположил, что утечка могла и не быть единственным способом получить информацию об уязвимости. По его словам, исследователь Суруш Далили смог с помощью модели Google Gemini воспроизвести эксплойт, а значит, теоретически атакующие могли сделать то же самое — используя LLM-модель вроде Gemini, Claude Opus или GPT-4o от OpenAI.

Однако, как признаёт сам Narang, «трудно сказать, какая именно цепочка событий позволила злоумышленникам использовать эти уязвимости в реальных атаках».

Microsoft при этом не опубликовала MAPP-инструкции по двум новым уязвимостям — CVE-2025-53770 и CVE-2025-53771 , связанным с CVE-2025-49704 и CVE-2025-49706. По мнению Чайлдса, это может означать, что Microsoft временно прекратила доверять этой программе: «если бы я думал, что утечка произошла из MAPP, я бы тоже не делился через неё ничем».