Главная страница » Индикаторы компрометации
0
12 дней
Индикаторы компрометации

CISA предупреждает об активной эксплуатации уязвимости в SharePoint (CVE-2025-53770): Рекомендации по защите

information security

Корпорация Microsoft и Агентство кибербезопасности и инфраструктуры США (CISA) выпустили экстренное предупреждение о новой уязвимости в SharePoint, получившей идентификатор CVE-2025-53770. Речь идет о критической уязвимости удаленного выполнения кода (RCE), которая активно эксплуатируется злоумышленниками для получения несанкционированного доступа к локальным серверам SharePoint.

Описание

Уязвимость является вариантом ранее известной CVE-2025-49706, однако ее эксплуатация, получившая название "ToolShell", позволяет злоумышленникам полностью контролировать системы SharePoint, включая доступ к файлам, внутренним конфигурациям и выполнению произвольного кода через сеть. Атаки фиксируются начиная с 18 июля 2025 года, при этом целевыми в первую очередь становятся организации, чьи SharePoint-серверы доступны из интернета.

Microsoft и CISA рекомендуют немедленно предпринять ряд мер для снижения рисков. В первую очередь, необходимо активировать интерфейс антивирусного сканирования (AMSI) в SharePoint и развернуть Microsoft Defender AV на всех серверах платформы. Если AMSI не может быть включен, специалисты советуют отключить уязвимые системы от интернета до появления официальных исправлений. Также важно следовать рекомендациям BOD 22-01 для облачных сервисов или временно прекратить использование SharePoint, если другие меры защиты недоступны.

Для обнаружения атак следует обратить внимание на POST-запросы к "/layouts/15/ToolPane.aspx?DisplayMode=Edit", а также проверить сетевую активность, связанную с IP-адресами 107.191.58[.]76, 104.238.159[.]149 и 96.9.125[.]147, которые были замечены в атаках 18-19 июля. Кроме того, необходимо обновить правила межсетевых экранов и систем обнаружения вторжений (IPS), чтобы блокировать известные шаблоны эксплойтов.

Особое внимание Microsoft и CISA уделяют мониторингу и журналированию. Организациям рекомендуется внедрить расширенное логирование событий для выявления подозрительных действий, а также провести аудит прав доступа к разделам и администрированию SharePoint, минимизировав привилегии там, где это возможно.

Microsoft уже выпустила обновленное руководство по обнаружению и предотвращению атак, связанных с CVE-2025-53770, а CISA добавила уязвимость в каталог Known Exploited Vulnerabilities (KEV), подчеркивая ее высокую опасность.

Эксперты подчеркивают, что атаки с использованием данной уязвимости продолжаются, поэтому организациям следует действовать без промедления. В ближайшее время ожидаются дополнительные исправления и рекомендации от Microsoft, но уже сейчас критически важно принять базовые меры защиты, чтобы избежать серьезных последствий для корпоративной инфраструктуры.

Индикаторы компрометации

IPv4

  • 104.238.159.149
  • 107.191.58.76
  • 96.9.125.147

URI

  • /_layouts/15/ToolPane.aspx?DisplayMode=Edit
Комментарии: 0
Похожие записи
0
22.07.2025
Индикаторы компрометации

Активная эксплуатация уязвимостей в Microsoft SharePoint: CVE-2025-53770 и CVE-2025-53771 угрожают предприятиям по всему миру

information security
В последние недели киберпреступники активно эксплуатируют две новые уязвимости в Microsoft SharePoint, которые позволяют злоумышленникам загружать вредоносные файлы и извлекать криптографические ключи
0
12.02.2024
Индикаторы компрометации

Volt Typhoon APT IOCs

security
Агентство по кибербезопасности и защите инфраструктуры (CISA), Агентство национальной безопасности (NSA) и Федеральное бюро расследований (FBI) полагают, что спонсируемые государством киберакторы Китайской
0
21.07.2025
Уязвимости

Активно эксплуатируется новая уязвимость SharePoint, позволяющая злоумышленникам захватывать серверы

vulnerability
В мире информационной безопасности зафиксирована масштабная атака с использованием новой критической уязвимости в Microsoft SharePoint, позволяющей злоумышленникам получать полный контроль над серверами без аутентификации.