Активная эксплуатация уязвимостей в Microsoft SharePoint: CVE-2025-53770 и CVE-2025-53771 угрожают предприятиям по всему миру

Атаки начали фиксировать 18 июля, когда исследователи из Eye Security сообщили о первых попытках эксплуатации. Позже Trend Micro подтвердила эти данные, отметив, что злоумышленники атакуют локальные серверы SharePoint в различных отраслях, включая финансы, образование, энергетику и здравоохранение. Microsoft выпустила обновления безопасности для SharePoint Subscription Edition и Server 2019, однако патч для Server 2016 пока находится в разработке.

Как работает атака?

Эксплуатация CVE-2025-53770 начинается с отправки специально сформированного HTTP-запроса к эндпоинту "/layouts/15/ToolPane.aspx", где злоумышленники используют заголовок "Referer" со значением "/_layouts/SignOut.aspx", чтобы обойти механизмы аутентификации. В результате на сервер загружается вредоносный файл "spinstall0.aspx", который извлекает криптографические ключи, включая "ValidationKey" и "DecryptionKey", из конфигурации SharePoint.

Получив эти данные, злоумышленники могут генерировать подписанные "__VIEWSTATE"-объекты, которые позволяют выполнять произвольный код на сервере без необходимости аутентификации. Эта цепочка атак включает несколько этапов:

• Первичное проникновение через уязвимый эндпоинт.
• Загрузка вредоносного ASPX-файла, который извлекает криптографические ключи.
• Генерация валидных "__VIEWSTATE"-объектов для RCE.
• Установка контроля над сервером через выполнение произвольных команд.

Технические детали

Вредоносный скрипт "spinstall0.aspx" использует рефлексивную загрузку кода через "System.Reflection.Assembly.Load()", чтобы получить доступ к настройкам "machineKey" из "web.config". Хотя сам файл не выполняет дополнительный код напрямую, он раскрывает ключи, которые могут использоваться для подделки токенов и модификации данных.

Кроме того, злоумышленники злоупотребляют функционалом SharePoint, встраивая вредоносные "ViewState"-объекты, содержащие сериализованные данные. Эти объекты могут запускать PowerShell-скрипты, которые, например, записывают дополнительные вредоносные файлы в директорию "LAYOUTS".

Масштабы угрозы

По данным Trend Micro, атаки зафиксированы в Азии, Европе и США. Наиболее уязвимыми оказались компании из финансового, образовательного, энергетического и медицинского секторов. Учитывая критичность SharePoint для корпоративных процессов, последствия таких инцидентов могут быть катастрофическими - от утечки конфиденциальных данных до полного захвата инфраструктуры.

Рекомендации по защите

Microsoft выпустила обновления для SharePoint Subscription Edition и Server 2019, поэтому первым шагом должно стать их немедленное применение. Организациям, использующим SharePoint Server 2016, следует подготовиться к установке патча, как только он станет доступен.

Дополнительные меры защиты включают:

• Мониторинг директории "LAYOUTS" на наличие несанкционированных ASPX-файлов.
• Аудит "web.config" на предмет подозрительных изменений.
• Анализ логов на аномальные запросы к "ToolPane.aspx" и манипуляции с "ViewState".

Вывод

Эксплуатация CVE-2025-53770 и CVE-2025-53771 демонстрирует, насколько опасными могут быть неполные исправления уязвимостей. Компаниям необходимо не только своевременно обновлять ПО, но и внедрять многоуровневую защиту, чтобы минимизировать риски. В условиях растущей активности киберпреступников только комплексный подход к безопасности позволит предотвратить катастрофические последствия.

IPv4

• 103.186.30.186
• 104.238.159.149
• 107.191.58.76
• 96.9.125.147

SHA256

• 27c45b8ed7b8a7e5fff473b50c24028bd028a9fe8e25e5cea2bf5e676e531014
• 8d3d3f3a17d233bc8562765e61f7314ca7a08130ac0fb153ffd091612920b0f2
• 92bb4ddb98eeaf11fc15bb32e71d0a63256a0ed826a03ba293ce3a8bf057a514
• b336f936be13b3d01a8544ea3906193608022b40c28dd8f1f281e361c9b64e93