Крупная волна кибератак захватила организации по всему миру из-за критической уязвимости в Microsoft SharePoint Server. Уязвимость CVE-2025-53770 позволяет удалённое выполнение кода и используется в активной фазе целевых атак на госучреждения, университеты, телеком и энергетические компании, а также частные предприятия в разных странах.
Microsoft SharePointЧто произошло?
Уязвимость CVE-2025-53770 связана с десериализацией недоверенных данных в локально установленных (on-premises) версиях SharePoint Server, что позволяет злоумышленникам удалённо запускать произвольный код.
Атака классифицируется как zero-day — её начали использовать до выхода патча.
Подтверждённые цели: органы власти США, телеком-компании в Азии, энергетика, университеты и предприятия. Общее число скомпрометированных серверов может достигать десятков тысяч.
Некоторые подробности эксплойта
Атака строится на цепочке уязвимостей, включающей:
Обход аутентификации (связан с CVE-2025-49706),
Инъекцию кода (вариант CVE-2025-49704).
Этот эксплойт, получивший название ToolShell, был впервые представлен исследователями из Viettel Cyber Security на соревновании Pwn2Own в мае 2025 года.
Этапы эксплуатации:1. Обход аутентификации через заголовок Referer
Первый шаг атаки использует уязвимость в обработке HTTP-заголовков. Злоумышленник отправляет POST-запрос к:
/_layouts/15/ToolPane.aspx
…с поддельным заголовком:
Referer: /_layouts/SignOut.aspx
Этот Referer заставляет SharePoint принять запрос как аутентифицированный. Это позволяет перейти к следующему этапу без необходимости в логине, MFA или SSO.
2. Десериализация недоверенных данных
Следующий этап атаки — передача вредоносно сериализованных .NET-объектов в теле запроса. Сервис ToolPane на сервере десериализует полученные данные без достаточной валидации и авторизации, что открывает возможность для инъекции произвольного кода.
3. Загрузка скрытого web shell (spinstall0.aspx)
Эксплойт позволяет загрузить .ASPX-файл spinstall0.aspx , который:
Не имеет интерактивного интерфейса.
Не вызывает очевидных тревожных вызовов к PowerShell.
Извлекает из конфигурации сервера критически важные ключи:
ValidationKey
DecryptionKey
Эти MachineKey-параметры лежат в основе криптографических операций SharePoint, включая подпись __VIEWSTATE.
4. Подделка __VIEWSTATE с валидной подписью
Используя украденные ключи, атакующий может создавать поддельные, но валидные __VIEWSTATE-объекты, которые:
Проходят валидацию как легитимные.
Могут включать вредоносный код.
Позволяют выполнять RCE, даже после перезагрузки сервера.
Это обеспечивает постоянный доступ к системе.
5. Простота атаки
Вся цепочка атаки укладывается в один HTTP-запрос, что делает возможным:
Массовое сканирование.
Использование ботнетов.
Обход большинства SIEM-систем.
6. Обход SSO и MFA
Поскольку аутентификация изначально обходится, все последующие уровни защиты, включая:
Multi-Factor Authentication
Single Sign-On
Azure AD Conditional Access
…становятся неэффективными. Атакующий получает доступ без логина, токенов и без учётной записи.
Обнаружение атаки крайне затруднено, поскольку вредоносный трафик маскируется под легитимные операции SharePoint и не включает активные C2-механизмы.
Уязвимость не затрагивает облачный SharePoint Online (Microsoft 365).
При взломе SharePoint возможно заражение всей корпоративной сети, включая Outlook, Teams и OneDrive.
Индикаторы компрометации (IoC)
Наличие файла spinstall0.aspx в каталогах шаблонов SharePoint.
Запуски PowerShell из-под w3wp.exe с Base64-кодированными аргументами.
Запросы POST на /ToolPane.aspx с Referer: /_layouts/SignOut.aspx.
Неожиданное поведение системы без следов логина пользователя.
Ответ Microsoft и рекомендации
Патчи уже выпущены для:
SharePoint Subscription Edition
SharePoint Server 2019
Для SharePoint 2016 патч пока отсутствует — рекомендовано срочно применять меры по снижению риска.
Microsoft рекомендует:
Установить последние обновления безопасности.
Включить и настроить Antimalware Scan Interface (AMSI).
Использовать Defender for Endpoint или аналогичный EDR.
Провести ротацию ключей и отключить уязвимые серверы от интернета, если невозможно немедленно установить патч.
Реакция регуляторов и экспертов
В расследовании участвуют FBI, CISA, а также спецслужбы Канады и Австралии.
Исследователи настоятельно рекомендуют предположить факт взлома для любого незащищённого сервера и начать инцидент-менеджмент: анализ логов, поиск скрытых угроз, смену ключей.
Эксперты предупреждают: атака всё ещё продолжается, и владельцам локальных SharePoint-серверов необходимо немедленно принять меры, включая установку патчей, изоляцию инфраструктуры и глубокий анализ на предмет вторжений.
Источники: Microsoft Security Response • CNN • Washington Post • The Hacker News • Forbes • CISA
Источник: habr.com