Zero-day zraniteľnosti Microsoft SharePoint Server
Spoločnosť Microsoft vydala bezpečnostné aktualizácie pre SharePoint Server, ktoré opravujú dve kritické aktívne zneužívané zraniteľnosti. CVE‑2025‑53770 a CVE‑2025‑53771 umožňujú vzdialené prevzatie kontroly nad servermi bez nutnosti prihlásenia. Chyby boli zneužité v útokoch proti desiatkam inštitúcií po celom svete.
[Aktualizované: 23.7.2025]
Zraniteľné systémy:
- SharePoint Subscription Edition
- SharePoint 2019
- SharePoint 2016
Opis činnosti:
CVE-2025-53770 (CVSS skóre 9,8)
Kritická zraniteľnosť umožňuje neautorizovanému útočníkovi vzdialene vykonávať kód. Chyba súvisí s neošetrenou deserializáciou nedôveryhodných dát v lokálnej inštancii SharePoint Server.
CVE-2025-53771 (CVSS skóre 6,3)
Aktívne zneužívaná zraniteľnosť strednej závažnosti umožňuje autorizovanému útočníkov vykonávať útoky s falšovaním identity (spoofing) po sieti. Súvisí s nevhodnou kontrolou súborovej cesty k citlivým súborom.
Chyby boli zneužité v reálnych útokoch proti desiatkam vládnych, akademických a energetických inštitúcií po celom svete. Útočná kampaň bola nazvaná ToolShell.
Možné škody:
- Vzdialené vykonanie kódu
- Spoofing
Odporúčania:
Microsoft vyzýva administrátorov, aby bezodkladne aktualizovali SharePoint 2016 [KB5002759, KB5002760], SharePoint 2019 [KB5002753, KB5002754] a SharePoint Subscription Edition [KB5002768], zapli bezpečnostné funkcie ako AMSI a Defender AV, vymenili šifrovacie kľúče a preverili systémy na známky útoku. Pokiaľ nie je možné aktualizácie aplikovať, odporúča dočasne odpojiť servery z internetu alebo použiť dostupné ochranné opatrenia. Podrobný návod nájdete na oficiálnych stránkach [1, 2].
Indikátory kompromitácie:
- Spinstall0.aspx (a variácie; webshell)
- 92bb4ddb98eeaf11fc15bb32e71d0a63256a0ed826a03ba293ce3a8bf057a514 (SHA-256 súboru Spinstall0.aspx)
- debug_dev.js (súbor s webovými konfiguračnými údajmi vrátane MachineKey)
- c34718cbb4c6.ngrok-free[.]app/file.ps1 (URL pre tunel Ngrok pre spojenie s C2)
- \1[5-6]\TEMPLATE\LAYOUTS\debug_dev.js (súborová cesta k ukradnutým webovým konfiguračným súborom)
- 131.226.2[.]6 (adresa C2 servera)
- 134.199.202[.]205 (adresa zneužívajúca dané zraniteľnosti)
- 104.238.159[.]149 (adresa zneužívajúca dané zraniteľnosti)
- 188.130.206[.]168 (adresa zneužívajúca dané zraniteľnosti)
Odkazy:
- https://www.bleepingcomputer.com/news/microsoft/microsoft-releases-emergency-patches-for-sharepoint-rce-flaws-exploited-in-attacks/
- https://nvd.nist.gov/vuln/detail/CVE-2025-53770
- https://nvd.nist.gov/vuln/detail/CVE-2025-53771
- https://msrc.microsoft.com/blog/2025/07/customer-guidance-for-sharepoint-vulnerability-cve-2025-53770/
- https://www.microsoft.com/en-us/security/blog/2025/07/22/disrupting-active-exploitation-of-on-premises-sharepoint-vulnerabilities/