Критическая уязвимость в SharePoint (CVE-2025-53770) активно эксплуатируется

Проблема заключается в механизме аутентификации SharePoint, который можно обойти, установив заголовок "Referer" в значение "/_layouts/SignOut.aspx". После этого злоумышленник получает возможность выполнить удаленный код через "/_layouts/15/ToolPane.aspx". По данным экспертов, в дикой природе уже зафиксированы случаи загрузки веб-шеллов (ToolShell) на скомпрометированные серверы.

Microsoft заявила, что последние версии SharePoint по умолчанию поддерживают интеграцию с AMSI (Antimalware Scan Interface), что позволяет Microsoft Defender анализировать подозрительную активность. Однако если AMSI отключен, компания настоятельно рекомендует рассмотреть возможность отключения сервера от интернета до выхода обновления безопасности. Важно отметить, что Defender не предотвращает эксплуатацию уязвимости, а лишь фиксирует последствия атаки, такие как появление вредоносных веб-шеллов.

Исследователи из Eye Security первыми обратили внимание на проблему, изначально классифицировав ее как CVE-2025-49704 и CVE-2025-49706. Однако после дополнительного анализа Microsoft подтвердила, что это новая уязвимость, и присвоила ей отдельный идентификатор CVE-2025-53700. По мнению специалистов, данный баг является вариацией ранее исправленных уязвимостей, патчи для которых вышли в рамках июльского "Patch Tuesday".

В данных, собранных с помощью honeypot-систем SANS Internet Storm Center, первые попытки эксплуатации были зафиксированы 16 июля. Источником атаки стал IP-адрес 172.174.82.132, который, согласно информации WHOIS, принадлежит Microsoft. Второй всплеск активности произошел уже сегодня, однако запросы исходили с p55001.probes.atlas.ripe.net:9000 и, вероятно, были частью исследовательского сканирования, так как в них отсутствовал критический заголовок Referer.

IPv4

• 172.174.82.132

Domain Port Combinations

• p55001.probes.atlas.ripe.net:9000