В мире информационной безопасности возникла новая масштабная угроза, связанная с эксплуатацией двух критических уязвимостей в Microsoft SharePoint - CVE-2025-49704 и CVE-2025-49706. Согласно последним данным от Palo Alto Networks, эти уязвимости активно используются злоумышленниками в реальных атаках по всему миру, что создает беспрецедентные риски для организаций, полагающихся на платформы SharePoint Server 2016 и SharePoint Server 2019.
Описание
Уязвимости, оцененные как критические в реестрах NIST и Microsoft Security Response Center, позволяют неавторизованным злоумышленникам не только обходить системы аутентификации, но и выполнять произвольные команды на серверах, что в совокупности открывает путь к полному контролю над инфраструктурой. Эксперты единодушны в оценке: промедление с установкой патчей может привести к катастрофическим последствиям, включая утечки конфиденциальных данных, финансовые потери и репутационный ущерб.
Механизм атак основывается на цепном использовании обеих уязвимостей. Первая, CVE-2025-49704, представляет собой недостаток контроля доступа, позволяющий неаутентифицированным злоумышленникам получать несанкционированный доступ к закрытым функциям SharePoint. Это создает плацдарм для эксплуатации второй уязвимости - CVE-2025-49706, которая связана с удаленным выполнением кода. В сочетании они формируют мощный инструмент для атакующих: сначала злоумышленники проникают в систему, используя CVE-2025-49704, а затем, через CVE-2025-49706, внедряют и исполняют произвольные команды на уровне операционной системы. Такой подход не требует от жертв взаимодействия с вредоносным контентом, что делает атаки скрытыми и труднодетектируемыми. Исследование eye.security подробно описывает, как хакеры используют эту связку для дестабилизации работы корпоративных сетей, подчеркивая, что уязвимости затрагивают базовые механизмы безопасности SharePoint.
Пораженные системы включают исключительно SharePoint Server 2016 и SharePoint Server 2019, что сужает круг потенциальных жертв, но не снижает рисков. Microsoft официально подтвердила наличие уязвимостей в своих бюллетенях безопасности, подчеркнув необходимость немедленного применения обновлений. Для CVE-2025-49704 и CVE-2025-49706 уже выпущены патчи, доступные через стандартные каналы обновления Windows Server. Однако многие организации откладывают установку исправлений из-за опасений нарушить бизнес-процессы, что играет на руку злоумышленникам.
Индикаторы компрометации
IPv4
- 96.9.125.147
SHA256
- 4a02a72aedc3356d8cb38f01f0e0b9f26ddc5ccb7c0f04a561337cf24aa84030
- b39c14becb62aeb55df7fd55c814afbb0d659687d947d917512fe67973100b70
- fa3a74a6c015c801f5341c02be2cbdfb301c6ed60633d49fc0bc723617741af7
