Groźna luka Zero-Day w kluczowym produkcie Microsoft. Serwery już atakowane

Poważna luka bezpieczeństwa w Microsoft SharePoint Server stała się celem szeroko zakrojonej kampanii hakerskiej. Podatność oznaczona jako CVE-2025-53770 to wariant wcześniejszej luki, którą Microsoft naprawił w lipcowej aktualizacji. Problem dotyczy niezaufanych danych, co pozwala nieautoryzowanym atakującym na wykonanie kodu przez sieć.

Times Union staff photo by John Carl D'Annibale: Host Rocket/ViaTalk co-founder John Reyes amid servers in the computer room of their Clifton Park company Wednesday afternoon December 20, 2006. FOR RULISON STORY (Photo by John Carl D'Annibale /Albany Times Union via Getty Images)Nowa luka w zabezpieczeniach
Źródło zdjęć: © GETTY | Albany Times Union/Hearst Newspapers
Robert Kędzierski
oprac.  Robert Kędzierski

Atakujący wykorzystujący tę lukę mogą wprowadzić własny szkodliwy kod do systemu. Robią to przez nadużycie sposobu, w jaki SharePoint przetwarza dane, które przychodzą z zewnątrz - system ślepo ufa tym danym, zamiast sprawdzić, czy są bezpieczne. Umożliwia im to wykonywanie poleceń jeszcze przed uwierzytelnieniem, co stanowi szczególnie niebezpieczny wektor ataku. Po uzyskaniu dostępu cyberprzestępcy mogą tworzyć zaufane ładunki przy użyciu skradzionych kluczy maszynowych, aby utrzymać dostęp lub przemieszczać się w sieci.

Firma Eye Security oraz Palo Alto Networks Unit 42 ostrzegły przed atakami łączącymi lukę CVE-2025-49706 (CVSS: 6.3) z CVE-2025-49704, co umożliwia wykonanie dowolnych poleceń na podatnych instancjach. Łańcuch exploitów otrzymał kryptonim ToolShell. Ponieważ CVE-2025-53770 jest wariantem CVE-2025-49704, istnieje podejrzenie, że ataki są ze sobą powiązane.

Według dyrektora technicznego Eye Security, Pieta Kerkhofsa: "nadal identyfikujemy masowe fale exploitów. Będzie to miało ogromny wpływ, ponieważ atakujący szybko przemieszczają się po sieciach, wykorzystując to zdalne wykonanie kodu." Do tej pory zidentyfikowano ponad 85 serwerów SharePoint na całym świecie, które zostały skompromitowane złośliwym web shellem. Zaatakowane serwery należą do 29 organizacji, w tym międzynarodowych firm i instytucji rządowych.

Dalsza część artykułu pod materiałem wideo

30 milionów przychodu na handlu używanymi autami - Paweł Miszta w Biznes Klasie

Reakcja Microsoftu i zalecane środki ochrony

Microsoft potwierdził, że jest świadomy aktywnych ataków wymierzonych w klientów korzystających z SharePoint Server w środowisku lokalnym. Firma podkreśliła, że SharePoint Online w Microsoft 365 nie jest narażony na to zagrożenie. Gigant z Redmond przygotowuje kompleksową aktualizację, która rozwiąże problem, a w międzyczasie zaleca klientom skonfigurowanie integracji Antimalware Scan Interface (AMSI) w SharePoint i wdrożenie Defender AV na wszystkich serwerach SharePoint.

Warto zauważyć, że integracja AMSI jest domyślnie włączona w aktualizacji zabezpieczeń z września 2023 roku dla SharePoint Server 2016/2019 oraz w aktualizacji funkcji wersji 23H2 dla SharePoint Server Subscription Edition. Dla użytkowników, którzy nie mogą włączyć AMSI, zaleca się odłączenie serwera SharePoint od internetu do czasu udostępnienia aktualizacji zabezpieczeń.

Amerykańska Cybersecurity and Infrastructure Security Agency (CISA) wydała alert, informując o aktywnym wykorzystywaniu luki CVE-2025-53770. Chris Butera, pełniący obowiązki zastępcy dyrektora wykonawczego ds. cyberbezpieczeństwa, stwierdził: "cisa została poinformowana o exploitacji przez zaufanego partnera i natychmiast skontaktowaliśmy się z Microsoftem, aby podjąć działania. Microsoft reaguje szybko, a my współpracujemy z firmą, aby pomóc powiadomić potencjalnie dotknięte podmioty o zalecanych środkach zaradczych."

Microsoft wydał już łatkę dla CVE-2025-53770 oraz nowo odkrytej luki oznaczonej jako CVE-2025-53771. Firma wyjaśniła, że CVE-2025-53770 dodaje więcej zabezpieczeń dla CVE-2025-49704, a CVE-2025-53771 zawiera więcej zabezpieczeń niż CVE-2025-49706, co wskazuje na istnienie dwóch nowych luk typu zero-day, które są obejściami dla oryginalnych poprawek Microsoftu z początku miesiąca.

"Tylko tego nie zepsuć". Tak polska gospodarka odbiła po pandemii
"Tylko tego nie zepsuć". Tak polska gospodarka odbiła po pandemii
Źródło artykułu: money.pl
Wybrane dla Ciebie
Nowa edycja programu "Mój Prąd". Ministra składa deklarację
Nowa edycja programu "Mój Prąd". Ministra składa deklarację
Reforma emerytalna pogrąży rząd Merza? Sądny dzień w Bundestagu
Reforma emerytalna pogrąży rząd Merza? Sądny dzień w Bundestagu
Karol Nawrocki zdecydował ws. miliardów dla NFZ
Karol Nawrocki zdecydował ws. miliardów dla NFZ
Bezalkoholowe piwo i wino mają być droższe. Oto ile zarobi państwo
Bezalkoholowe piwo i wino mają być droższe. Oto ile zarobi państwo
Ukraińska spółka planuje wydobycie węgla w Polsce. Oto szczegóły
Ukraińska spółka planuje wydobycie węgla w Polsce. Oto szczegóły
Tak Putin odwdzięcza się sojusznikom. Dane są ukrywane
Tak Putin odwdzięcza się sojusznikom. Dane są ukrywane
Krystyna Pawłowicz przeniesiona w stan spoczynku. Oto na jakie pieniądze mogła liczyć
Krystyna Pawłowicz przeniesiona w stan spoczynku. Oto na jakie pieniądze mogła liczyć
Kurierzy toną w długach. Eksperci tłumaczą: syndrom darmowej paczki
Kurierzy toną w długach. Eksperci tłumaczą: syndrom darmowej paczki
Unijne dotacje dla kolei pod znakiem zapytania
Unijne dotacje dla kolei pod znakiem zapytania
Ile kosztuje euro? Kurs euro do złotego PLN/EUR 05.12.2025
Ile kosztuje euro? Kurs euro do złotego PLN/EUR 05.12.2025
Ile kosztuje frank szwajcarski? Kurs franka do złotego PLN/CHF 05.12.2025
Ile kosztuje frank szwajcarski? Kurs franka do złotego PLN/CHF 05.12.2025
Ile kosztuje dolar? Kurs dolara do złotego PLN/USD 05.12.2025
Ile kosztuje dolar? Kurs dolara do złotego PLN/USD 05.12.2025