Groźna luka Zero-Day w kluczowym produkcie Microsoft. Serwery już atakowane

Poważna luka bezpieczeństwa w Microsoft SharePoint Server stała się celem szeroko zakrojonej kampanii hakerskiej. Podatność oznaczona jako CVE-2025-53770 to wariant wcześniejszej luki, którą Microsoft naprawił w lipcowej aktualizacji. Problem dotyczy niezaufanych danych, co pozwala nieautoryzowanym atakującym na wykonanie kodu przez sieć.

Times Union staff photo by John Carl D'Annibale: Host Rocket/ViaTalk co-founder John Reyes amid servers in the computer room of their Clifton Park company Wednesday afternoon December 20, 2006. FOR RULISON STORY (Photo by John Carl D'Annibale /Albany Times Union via Getty Images)Nowa luka w zabezpieczeniach
Źródło zdjęć: © GETTY | Albany Times Union/Hearst Newspapers
Robert Kędzierski
oprac.  Robert Kędzierski

Atakujący wykorzystujący tę lukę mogą wprowadzić własny szkodliwy kod do systemu. Robią to przez nadużycie sposobu, w jaki SharePoint przetwarza dane, które przychodzą z zewnątrz - system ślepo ufa tym danym, zamiast sprawdzić, czy są bezpieczne. Umożliwia im to wykonywanie poleceń jeszcze przed uwierzytelnieniem, co stanowi szczególnie niebezpieczny wektor ataku. Po uzyskaniu dostępu cyberprzestępcy mogą tworzyć zaufane ładunki przy użyciu skradzionych kluczy maszynowych, aby utrzymać dostęp lub przemieszczać się w sieci.

Firma Eye Security oraz Palo Alto Networks Unit 42 ostrzegły przed atakami łączącymi lukę CVE-2025-49706 (CVSS: 6.3) z CVE-2025-49704, co umożliwia wykonanie dowolnych poleceń na podatnych instancjach. Łańcuch exploitów otrzymał kryptonim ToolShell. Ponieważ CVE-2025-53770 jest wariantem CVE-2025-49704, istnieje podejrzenie, że ataki są ze sobą powiązane.

Według dyrektora technicznego Eye Security, Pieta Kerkhofsa: "nadal identyfikujemy masowe fale exploitów. Będzie to miało ogromny wpływ, ponieważ atakujący szybko przemieszczają się po sieciach, wykorzystując to zdalne wykonanie kodu." Do tej pory zidentyfikowano ponad 85 serwerów SharePoint na całym świecie, które zostały skompromitowane złośliwym web shellem. Zaatakowane serwery należą do 29 organizacji, w tym międzynarodowych firm i instytucji rządowych.

Dalsza część artykułu pod materiałem wideo

30 milionów przychodu na handlu używanymi autami - Paweł Miszta w Biznes Klasie

Reakcja Microsoftu i zalecane środki ochrony

Microsoft potwierdził, że jest świadomy aktywnych ataków wymierzonych w klientów korzystających z SharePoint Server w środowisku lokalnym. Firma podkreśliła, że SharePoint Online w Microsoft 365 nie jest narażony na to zagrożenie. Gigant z Redmond przygotowuje kompleksową aktualizację, która rozwiąże problem, a w międzyczasie zaleca klientom skonfigurowanie integracji Antimalware Scan Interface (AMSI) w SharePoint i wdrożenie Defender AV na wszystkich serwerach SharePoint.

Warto zauważyć, że integracja AMSI jest domyślnie włączona w aktualizacji zabezpieczeń z września 2023 roku dla SharePoint Server 2016/2019 oraz w aktualizacji funkcji wersji 23H2 dla SharePoint Server Subscription Edition. Dla użytkowników, którzy nie mogą włączyć AMSI, zaleca się odłączenie serwera SharePoint od internetu do czasu udostępnienia aktualizacji zabezpieczeń.

Amerykańska Cybersecurity and Infrastructure Security Agency (CISA) wydała alert, informując o aktywnym wykorzystywaniu luki CVE-2025-53770. Chris Butera, pełniący obowiązki zastępcy dyrektora wykonawczego ds. cyberbezpieczeństwa, stwierdził: "cisa została poinformowana o exploitacji przez zaufanego partnera i natychmiast skontaktowaliśmy się z Microsoftem, aby podjąć działania. Microsoft reaguje szybko, a my współpracujemy z firmą, aby pomóc powiadomić potencjalnie dotknięte podmioty o zalecanych środkach zaradczych."

Microsoft wydał już łatkę dla CVE-2025-53770 oraz nowo odkrytej luki oznaczonej jako CVE-2025-53771. Firma wyjaśniła, że CVE-2025-53770 dodaje więcej zabezpieczeń dla CVE-2025-49704, a CVE-2025-53771 zawiera więcej zabezpieczeń niż CVE-2025-49706, co wskazuje na istnienie dwóch nowych luk typu zero-day, które są obejściami dla oryginalnych poprawek Microsoftu z początku miesiąca.

"Tylko tego nie zepsuć". Tak polska gospodarka odbiła po pandemii
"Tylko tego nie zepsuć". Tak polska gospodarka odbiła po pandemii
Źródło artykułu: money.pl
Wybrane dla Ciebie
Kierwiński o aferze Zondacrypto. "Prokuratura powinna przesłuchać prezesa"
Kierwiński o aferze Zondacrypto. "Prokuratura powinna przesłuchać prezesa"
Koniec rosyjskiej ropy i gazu w UE. Słowacja zapowiada skargę
Koniec rosyjskiej ropy i gazu w UE. Słowacja zapowiada skargę
Natychmiastowy efekt odblokowania cieśniny. "Na całym świecie"
Natychmiastowy efekt odblokowania cieśniny. "Na całym świecie"
Ile kosztuje funt? Kurs funta do złotego PLN/GBP 17.04.2026
Ile kosztuje funt? Kurs funta do złotego PLN/GBP 17.04.2026
Ile kosztuje euro? Kurs euro do złotego PLN/EUR 17.04.2026
Ile kosztuje euro? Kurs euro do złotego PLN/EUR 17.04.2026
Afera Zondacrypto. 10 rzeczy, które powinieneś wiedzieć
Afera Zondacrypto. 10 rzeczy, które powinieneś wiedzieć
Ile kosztuje frank szwajcarski? Kurs franka do złotego PLN/CHF 17.04.2026
Ile kosztuje frank szwajcarski? Kurs franka do złotego PLN/CHF 17.04.2026
Ile kosztuje dolar? Kurs dolara do złotego PLN/USD 17.04.2026
Ile kosztuje dolar? Kurs dolara do złotego PLN/USD 17.04.2026
Kryzys na rynku paliwa lotniczego. KE i Orlen uspokajają
Kryzys na rynku paliwa lotniczego. KE i Orlen uspokajają
Iran otwiera cieśninę Ormuz. Jest deklaracja polskiego MSZ i kolejnych państw
Iran otwiera cieśninę Ormuz. Jest deklaracja polskiego MSZ i kolejnych państw
Marcin D. aresztowany. Zarzuty dla byłego męża Marty Kaczyńskiej
Marcin D. aresztowany. Zarzuty dla byłego męża Marty Kaczyńskiej
Chiny grają na dwa fronty. Stawką ropa i handel
Chiny grają na dwa fronty. Stawką ropa i handel