«Исправления нет, но вы держитесь»...или просто отключите интернет — Microsoft нашла новый подход к закрытию 0Day

SharePoint Microsoft Великобритания эксплоит ToolShell Китай
«Исправления нет, но вы держитесь»...или просто отключите интернет — Microsoft нашла новый подход к закрытию 0Day
SharePoint Microsoft Великобритания эксплоит ToolShell Китай

SharePoint стал трещиной в фундаменте цифровой инфраструктуры.

image

Хакеры сумели воспользоваться недавно выявленными уязвимостями в локальных серверах Microsoft SharePoint, что привело к утечке персональных данных в Великобритании. В течение нескольких дней после раскрытия багов три британские организации сообщили в Управление комиссара по информации (ICO) о компрометации конфиденциальной информации. Названия пострадавших структур не раскрываются, но специалисты отмечают, что SharePoint широко применяется в госсекторе, университетах и корпорациях, где хранятся чувствительные данные.

19 июля Microsoft опубликовала предупреждение, которое специалисты сочли беспрецедентно жёстким. Клиентам было предложено немедленно изменить конфигурацию систем или полностью отключить серверы SharePoint до выхода исправления. Ситуация обострилась тем, что эксплойты были задействованы практически сразу после обнаружения. Первые атаки получили название ToolShell и, по данным расследователей, были связаны как минимум с двумя китайскими группировками, поддерживаемыми государством. Вскоре к ним присоединилась ещё одна, предположительно преследующая финансовую выгоду. Остаётся неясным, действовали ли они согласованно или независимо.

22 июля британский Национальный центр по кибербезопасности сообщил, что вместе с Microsoft фиксирует ограниченное число активных атак в стране, однако не уточнил, какие именно отрасли подверглись ударам. Поскольку локальные SharePoint-серверы до сих пор широко распространены в госучреждениях и организациях, вероятность масштабных последствий вызывает серьёзные опасения. На тот момент от эксплуатации уязвимости нулевого дня CVE-2025-53770 пострадали как минимум 100 организаций, в числе которых — международные корпорации и правительственные учреждения.

Согласно ответу ICO на запрос по закону о свободе информации, по состоянию на 28 июля в ведомство поступило минимум три официальных уведомления о нарушении безопасности данных, напрямую связанных с уязвимостью SharePoint. При этом реальная цифра может оказаться выше. Внутренняя система учёта ICO не содержит отдельного поля для отметки о причастности конкретных кибератак к инцидентам, и регистрирующиеся организации не обязаны уточнять этот фактор.

Некоторые сообщения в ICO были отнесены к SharePoint-уязвимости вручную на основании предоставленных сведений. Представители ведомства подчеркнули, что часть других заявлений также может иметь отношение к этой цепочке атак, однако это пока не установлено окончательно. При дальнейшем анализе некоторые из них могут получить другое объяснение.