Groźna luka Zero-Day w kluczowym produkcie Microsoft. Serwery już atakowane

Atakujący wykorzystujący tę lukę mogą wprowadzić własny szkodliwy kod do systemu. Robią to przez nadużycie sposobu, w jaki SharePoint przetwarza dane, które przychodzą z zewnątrz - system ślepo ufa tym danym, zamiast sprawdzić, czy są bezpieczne. Umożliwia im to wykonywanie poleceń jeszcze przed uwierzytelnieniem, co stanowi szczególnie niebezpieczny wektor ataku. Po uzyskaniu dostępu cyberprzestępcy mogą tworzyć zaufane ładunki przy użyciu skradzionych kluczy maszynowych, aby utrzymać dostęp lub przemieszczać się w sieci.

Firma Eye Security oraz Palo Alto Networks Unit 42 ostrzegły przed atakami łączącymi lukę CVE-2025-49706 (CVSS: 6.3) z CVE-2025-49704, co umożliwia wykonanie dowolnych poleceń na podatnych instancjach. Łańcuch exploitów otrzymał kryptonim ToolShell. Ponieważ CVE-2025-53770 jest wariantem CVE-2025-49704, istnieje podejrzenie, że ataki są ze sobą powiązane.

Według dyrektora technicznego Eye Security, Pieta Kerkhofsa: "nadal identyfikujemy masowe fale exploitów. Będzie to miało ogromny wpływ, ponieważ atakujący szybko przemieszczają się po sieciach, wykorzystując to zdalne wykonanie kodu." Do tej pory zidentyfikowano ponad 85 serwerów SharePoint na całym świecie, które zostały skompromitowane złośliwym web shellem. Zaatakowane serwery należą do 29 organizacji, w tym międzynarodowych firm i instytucji rządowych.

Microsoft potwierdził, że jest świadomy aktywnych ataków wymierzonych w klientów korzystających z SharePoint Server w środowisku lokalnym. Firma podkreśliła, że SharePoint Online w Microsoft 365 nie jest narażony na to zagrożenie. Gigant z Redmond przygotowuje kompleksową aktualizację, która rozwiąże problem, a w międzyczasie zaleca klientom skonfigurowanie integracji Antimalware Scan Interface (AMSI) w SharePoint i wdrożenie Defender AV na wszystkich serwerach SharePoint.

Warto zauważyć, że integracja AMSI jest domyślnie włączona w aktualizacji zabezpieczeń z września 2023 roku dla SharePoint Server 2016/2019 oraz w aktualizacji funkcji wersji 23H2 dla SharePoint Server Subscription Edition. Dla użytkowników, którzy nie mogą włączyć AMSI, zaleca się odłączenie serwera SharePoint od internetu do czasu udostępnienia aktualizacji zabezpieczeń.

Amerykańska Cybersecurity and Infrastructure Security Agency (CISA) wydała alert, informując o aktywnym wykorzystywaniu luki CVE-2025-53770. Chris Butera, pełniący obowiązki zastępcy dyrektora wykonawczego ds. cyberbezpieczeństwa, stwierdził: "cisa została poinformowana o exploitacji przez zaufanego partnera i natychmiast skontaktowaliśmy się z Microsoftem, aby podjąć działania. Microsoft reaguje szybko, a my współpracujemy z firmą, aby pomóc powiadomić potencjalnie dotknięte podmioty o zalecanych środkach zaradczych."

Microsoft wydał już łatkę dla CVE-2025-53770 oraz nowo odkrytej luki oznaczonej jako CVE-2025-53771. Firma wyjaśniła, że CVE-2025-53770 dodaje więcej zabezpieczeń dla CVE-2025-49704, a CVE-2025-53771 zawiera więcej zabezpieczeń niż CVE-2025-49706, co wskazuje na istnienie dwóch nowych luk typu zero-day, które są obejściami dla oryginalnych poprawek Microsoftu z początku miesiąca.