Эксперты по кибербезопасности из Bitdefender подтвердили активную эксплуатацию критической уязвимости удаленного выполнения кода (RCE) в локальных развертываниях Microsoft SharePoint Server. Уязвимость, получившая идентификатор CVE-2025-53770, имеет оценку 9.8 по шкале CVSSv3.1 и позволяет злоумышленникам выполнять произвольный код без аутентификации. Это может привести к полному захвату системы и утечке конфиденциальных данных.
Описание
По данным Bitdefender, атаки уже зафиксированы в США, Канаде, Австрии, Иордании, Мексике, Германии, Южной Африке, Швейцарии и Нидерландах. Кибербезопасность и инфраструктурное агентство США (CISA) добавило CVE-2025-53770 в каталог Known Exploited Vulnerabilities (KEV) из-за кампании "ToolShell", направленной на эксплуатацию этой уязвимости.
Уязвимость обходит ранее выпущенные патчи для CVE-2025-49704 и CVE-2025-49706, что делает ее особенно опасной. Организациям, использующим локальные версии SharePoint Server, рекомендуется немедленно принять меры. Под угрозой находятся Microsoft SharePoint Server 2016 (исправление доступно в KB5002760), SharePoint Server 2019 (исправление в KB5002754) и SharePoint Server Subscription Edition (исправление в KB5002768). SharePoint Online (Microsoft 365) не затронут данной уязвимостью.
Технический анализ показал, что CVE-2025-53770 связана с неправильной десериализацией данных в SharePoint Server. Злоумышленники используют этот недостаток, чтобы развертывать вредоносные ASP.NET-веб-оболочки (web shells), которые извлекают криптографические ключи MachineKey, включая ValidationKey и DecryptionKey. Эти ключи позволяют подписывать вредоносные __VIEWSTATE-запросы, которые сервер SharePoint воспринимает как легитимные, открывая путь к удаленному выполнению команд.
__VIEWSTATE - это скрытое поле, используемое в ASP.NET для сохранения состояния веб-страницы между запросами. Оно хранится в браузере пользователя и передается на сервер, позволяя восстанавливать данные формы или состояние элементов управления. Уязвимость позволяет злоумышленникам подделывать эти данные, обходя механизмы безопасности.
Наблюдения Bitdefender Labs показывают, что большинство атак носят массовый характер, а не целенаправленный. Злоумышленники сканируют интернет в поисках уязвимых систем, после чего развертывают вредоносный код. Такие атаки часто служат лишь первым этапом перед более разрушительными действиями, такими как развертывание ransomware.
Анализ вредоносных payload’ов выявил использование специального ASP.NET-кода, который автоматически извлекает ключи MachineKey из конфигурации SharePoint. Полученные ключи позволяют атакующим создавать поддельные __VIEWSTATE-запросы, сохраняя доступ к серверу даже после устранения уязвимости, если ключи не были изменены. Это подчеркивает важность ротации MachineKey после устранения угрозы.
Bitdefender отмечает, что с момента публикации Proof-of-Concept (PoC) до его интеграции в автоматизированные инструменты злоумышленников проходит менее 24 часов. Это делает CVE-2025-53770 крайне опасной, так как эскалация привилегий и компрометация данных могут произойти в кратчайшие сроки.
Индикаторы компрометации
IPv4
- 162.159.140.229
- 172.66.0.227
