Aktyvios atakos nukreiptos į „Microsoft SharePoint“ nulinę dieną

„Microsoft Corp.“ „SharePoint“ be žinomo pleistro pažeidžiamumas laukinėje gamtoje yra išnaudojamas, nes saugumo tyrinėtojai perspėja, kad užpuolikai aktyviai kompromituoja serverius keliuose sektoriuose.

Pažeidžiamumas, stebimas kaip CVE-2025-53770 ir dubliuotas „Toolshell“, daro įtaką „SharePoint Server 2016“, 2016, 2019 ir „Prenumerath Edition“ versijoms. Pažeidžiamumas kyla dėl nesaugaus deserializacijos, leidžiančios neautentifikuotam nuotolinio kodo vykdymui, suteikiant užpuolikams galimybę valdyti serverius be jokių kredencialų.

„Microsoft“ patvirtino aktyvų pažeidžiamumo išnaudojimą liepos 19 d. Ir išleido tarpines rekomendacijas, nes ji veikia nuolatiniu pataisymu.

Pažeidžiamumas yra panaudotas koordinuotoje kampanijoje, kurią pirmą kartą stebėjo „Eye Security BV“ tyrėjai liepos 18 d. Anot tyrėjų, užpuolikai naudoja trūkumą, norėdami įdiegti kenksmingą ASPX naudingą apkrovą, vadinamą „spinstall0.aspx“, kuris ištraukia kriptografinius mašinų klavišus, kuriuos naudoja „SharePoint“. Gavę raktus, užpuolikai gali suklastoti galiojančius „ViewState“ žetonus ir išlaikyti nuolatinę prieigą, net ir po to, kai serveriai bus pataisyti.

Akių saugumo vertinimu, mažiausiai 75–85 serveriai jau buvo pažeisti: aukos, apimančios vyriausybines agentūras, telekomunikacijų firmas, finansų įstaigas, universitetus ir energetikos tiekėjus.

Ataka, kuria siekiama išnaudoti pažeidžiamumą, prasideda specialiai parengtu POST užklausa, kad „SharePoint's Toolpane.aspx“ galas, kuris taip pat derinamas su apgauline nuorodos antrašte, nurodančia „sirfout.aspx“ puslapį. Tada užklausa suaktyvina „Spinstall0.aspx“ naudingosios apkrovos įkėlimą ir vykdymą, kuris tada suteikia prieigą prie serverio „ValidationKey“ ir „DecryptionKey“.

Kai užpuolikas turi rankas į serverio raktus, jie gali apeiti standartines saugos priemones ir nuotoliniu būdu vykdyti komandas kaip patikimas vartotojas.

Neturite pataisų, „Microsoft“ ragina administratorius įgalinti AMSI integraciją ir diegti „Microsoft Defender Antivirus“ ir „Defender“, kad „Endpoint“ galėtų aptikti ir blokuoti žinomus kompromiso rodiklius. „AMSI“ integracija arba „Antimalware Scan“ sąsajos integracija leidžia „SharePoint“ dirbti su antivirusiniais sprendimais, tokiais kaip „Microsoft Defender“, kad būtų galima nuskaityti ir blokuoti kenksmingus scenarijus ir naudingus krovinius realiuoju laiku, kol jie nebus vykdomi.

JAV kibernetinio saugumo ir infrastruktūros agentūra taip pat paskelbė patarimus dėl pažeidžiamumo, pažymėdama, kad jei AMSI negali būti įgalinta, „SharePoint Server“ vartotojai turėtų atjungti paveiktus produktus, kurie internete yra viešai susiję, kol nebus oficialių švelninimo.

Analitikai taip pat perspėja, kad vien tik švelninimo priemonės nepakanka, jei jau įvyko kompromisas, nes užpuolikai, turintys prieigą prie mašinų raktų, gali išlaikyti valdymą. Visam ištaisymui reikia raktų sukimosi, grėsmės medžioklės ir bet kokių dislokuotų žiniatinklio apvalkalų pašalinimo.

Vaizdas: siliciolis/reve