Кибербезопасность сегодня сталкивается с новыми вызовами: группа Unit 42 сообщает о масштабных атаках на локальные серверы Microsoft SharePoint, использующие несколько критических уязвимостей. В зоне риска находятся государственные учреждения, образовательные организации, медицинские учреждения (включая больницы) и крупные предприятия. Облачные решения SharePoint Online остаются незатронутыми, но локальные развертывания требуют немедленного внимания.
Описание
Среди выявленных уязвимостей особенно опасны CVE-2025-49704, CVE-2025-49706, CVE-2025-53770 и CVE-2025-53771. Первые две позволяют неавторизованным злоумышленникам выполнять произвольные команды на уязвимых серверах SharePoint, обходя стандартные ограничения. Последние две уязвимости связаны с десериализацией недоверенных данных и обходом ограничений доступа к директориям. Их объединение в цепочку атак делает угрозу еще более серьезной. Уязвимости затрагивают Microsoft SharePoint Enterprise Server 2016 и 2019, а также подписку SharePoint Server Subscription Edition.
Microsoft уже выпустила соответствующие патчи, но, по данным Unit 42, атаки активно эксплуатируют эти уязвимости. Злоумышленники обходят многофакторную аутентификацию (MFA) и единый вход (SSO), получая доступ к конфиденциальным данным, устанавливая бэкдоры и похищая криптографические ключи. Эксперты предупреждают: если ваш SharePoint доступен из интернета, стоит предположить, что система уже скомпрометирована.
Аналитики Unit 42 выделяют три основных сценария атак:
- В первом случае злоумышленники запускают PowerShell-скрипты для сбора данных из web.config-файлов.
- Во втором - создают веб-шелл spinstall0.aspx, позволяющий получать ключи шифрования ViewState.
- Третий вариант практически идентичен второму, но с измененными путями и дополнительными маскирующими действиями.
Microsoft уже выпустила рекомендации по устранению угроз, но Unit 42 настаивает на дополнительных мера:
- Во-первых, уязвимые серверы стоит немедленно отключить от интернета.
- Во-вторых, необходимо применить все доступные обновления безопасности и провести ротацию криптографических ключей.
- В-третьих, рекомендуется обратиться к профессионалам для проведения полноценного инцидент-респонса, так как стандартного патчинга может быть недостаточно для полного устранения угрозы.
Эксперты подчеркивают: с учетом глубины интеграции SharePoint с другими сервисами Microsoft (Teams, OneDrive, Outlook) компрометация этой системы может привести к полному взлому корпоративной сети. Поэтому меры защиты должны быть приняты незамедлительно.
Ситуация продолжает развиваться, и организациям рекомендуется следить за обновлениями от Microsoft и Palo Alto Networks. Промедление с защитными мерами чревато серьезными последствиями, включая утечки данных и длительные простои в работе инфраструктуры.
Индикаторы компрометации
IPv4
- 104.238.159.149
- 107.191.58.76
- 139.144.199.41
- 149.40.50.15
- 154.223.19.106
- 185.197.248.131
- 45.77.155.170
- 89.46.223.88
- 95.179.158.42
- 96.9.125.147
SHA256
- 390665bdd93a656f48c463bb6c11a4d45b7d5444bdd1d1f7a5879b0f6f9aac7e
- 4a02a72aedc3356d8cb38f01f0e0b9f26ddc5ccb7c0f04a561337cf24aa84030
- 66af332ce5f93ce21d2fe408dffd49d4ae31e364d6802fff97d95ed593ff3082
- 7baf220eb89f2a216fcb2d0e9aa021b2a10324f0641caf8b7a9088e4e45bec95
- b39c14becb62aeb55df7fd55c814afbb0d659687d947d917512fe67973100b70
- fa3a74a6c015c801f5341c02be2cbdfb301c6ed60633d49fc0bc723617741af7
