Luki zero-day omijają poprawki. SharePoint w ogniu krytyki
Microsoft potwierdził, że serwery lokalnej wersji SharePoint stały się celem nowej fali ataków z wykorzystaniem podatności typu zero-day. Wykorzystywane są dwie nieznane wcześniej luki oznaczone jako CVE-2025-53770 i CVE-2025-53771, które omijają wcześniejsze zabezpieczenia, załatane zaledwie kilka dni temu w ramach lipcowej aktualizacji bezpieczeństwa. Mimo prób Microsoftu, aktualizacja z połowy miesiąca okazała się nieskuteczna w pełnym zabezpieczeniu systemu. Pierwsze sygnały o incydentach zaczęły pojawiać się 18 lipca. Holenderska firma Eye Security zidentyfikowała ataki dzięki podejrzanym logom w narzędziu EDR jednego ze swoich klientów. Analiza wskazała, że wykorzystywany exploit to wariacja pokazanego kilka miesięcy wcześniej ataku o nazwie ToolShell, prezentowanego podczas konkursu Pwn2Own w Berlinie. Mimo że Microsoft naprawił wtedy pierwotne luki (CVE-2025-49704 i CVE-2025-49706), to teraz okazuje się, że nowe podatności skutecznie obchodzą tamte poprawki.
Obie nowo odkryte luki umożliwiają zdalne wykonanie kodu na serwerach SharePoint. Problem dotyczy wyłącznie wersji lokalnych – SharePoint Online pozostaje bezpieczny. Microsoft potwierdził, że opublikował już nową łatkę dla wersji subskrypcyjnej SharePointa, oznaczoną jako KB5002768. Użytkownicy wersji 2016 i 2019 nadal jednak muszą czekać na stosowne aktualizacje.
Cyberatak z podpisem RCE. Co robić?
Eksperci wskazują, że jednym z głównych mechanizmów wykorzystywanych przez atakujących jest plik „spinstall0.aspx”, który po przesłaniu na serwer kradnie klucz walidacyjny z konfiguracji ASP.NET – mechanizmu odpowiedzialnego m.in. za ochronę przed nieautoryzowanym dostępem. Dzięki wykradzionym danym przestępcy są w stanie wygenerować poprawne tokeny uwierzytelniające i przejąć kontrolę nad aplikacją. W efekcie dochodzi do pełnego zdalnego wykonania kodu na serwerze (RCE). Microsoft zaleca, aby administratorzy, którzy nie są jeszcze w stanie zastosować łatek, natychmiast włączyli AMSI – funkcję bezpieczeństwa, która umożliwia skanowanie dynamicznego kodu w czasie rzeczywistym przez narzędzia antywirusowe. Firma przypomina, że AMSI jest domyślnie aktywna od września 2023 r. w wersjach SharePoint 2016 i 2019, a także w najnowszej wersji subskrypcyjnej. Dodatkowo zaleca się rotację kluczy ASP.NET poprzez narzędzia PowerShell lub Centralną Administrację. Dla organizacji, które nie mogą włączyć AMSI, Microsoft sugeruje natychmiastowe odcięcie serwerów SharePoint od Internetu.
Jak wynika z danych Eye Security, atak dotknął co najmniej 54 organizacje, w tym prywatne uczelnie w Kalifornii, firmy z sektora energii, AI oraz agencje rządowe w USA. W sumie zidentyfikowano ponad 85 zainfekowanych serwerów na całym świecie. W niektórych przypadkach zaobserwowano próby dalszej penetracji sieci i eskalacji uprawnień. Ataki nie przeszły bez echa – amerykańska agencja CISA umieściła CVE-2025-53770 w katalogu znanych, aktywnie wykorzystywanych luk, zobowiązując agencje federalne do zastosowania poprawek niezwłocznie po ich wydaniu. Jak informuje Chris Butera z CISA, współpraca z Microsoftem trwa, a celem jest jak najszybsze ograniczenie szkód i zabezpieczenie infrastruktury krytycznej. To nie pierwszy raz, gdy SharePoint staje się celem zaawansowanych ataków. Jednak skala obecnego incydentu oraz fakt, że wykorzystano nie jedną, a dwie luki zero-day, które omijają niedawno wydane poprawki, stawia Microsoft w trudnej sytuacji. Istotne jest teraz szybkie wdrożenie poprawek i ścisła współpraca ze społecznością bezpieczeństwa.
