Microsoft экстренно патчит критическую уязвимость SharePoint после массовых атак: ToolShell ставит под удар корпоративные данные

Это открывает путь к удаленному выполнению произвольного кода (RCE), компрометации всего содержимого и файловых систем без каких-либо учетных данных. Эксперты по кибербезопасности классифицируют угрозу как критическую, подчеркивая, что успешная атака приводит к тотальному контролю над инфраструктурой, утечкам конфиденциальных данных и параличу бизнес-процессов. В официальном сообщении Microsoft подтвердила факт активных атак на организации, использующие on-premises SharePoint, хотя детали о группировках, стоящих за инцидентами, не раскрываются, что типично для политики компании в вопросах атрибуции.

Уязвимость ToolShell представляет собой вариацию ранее устраненной проблемы CVE-2025-49704, патч для которой был выпущен в июле 2025 года. Это указывает на тревожную тенденцию: злоумышленники целенаправленно ищут производные бреши в исправленных компонентах, используя схожие векторы атак для обхода базовых мер защиты. Технический анализ показывает, что эксплуатация ToolShell основана на манипуляциях с параметрами веб-интерфейса SharePoint, позволяющими выполнять неавторизованные команды через уязвимые скрипты. Такая утонченность методов подчеркивает растущую изощренность киберпреступников, ориентированных на корпоративные среды, где SharePoint часто служит хранилищем стратегической документации, финансовых отчетов и персональных данных сотрудников.

Важным аспектом инцидента стала оперативная реакция со стороны Symantec: продукты вендора уже блокируют попытки эксплуатации CVE-2025-53770 с помощью сигнатуры "Web Attack: Microsoft SharePoint CVE-2025-49704". Это демонстрирует эффективность превентивных систем обнаружения вторжений (IDS), но эксперты предупреждают, что подобные меры не заменяют установку официального патча. Механизмы сетевой защиты способны отражать известные сценарии атак, однако злоумышленники могут модифицировать эксплойты, чтобы обойти временные фильтры. Параллельно Microsoft устранила вторую, связанную уязвимость CVE-2025-53771 - ошибку обхода пути (path traversal), которая позволяла авторизованным злоумышленникам выполнять спуфинг в сети. Данная брешь, являющаяся наследником уязвимости CVE-2025-49706, патченной ранее, теперь закрыта с усиленными механизмами валидации входных данных, минимизирующими риски перехвата сессий или подмены контента.

Агентство кибербезопасности и инфраструктурной безопасности США (CISA) опубликовало экстренные рекомендации для всех организаций, использующих SharePoint. Помимо немедленной установки обновлений, ведомство призывает администраторов мониторить подозрительные POST-запросы к эндпоинту /_layouts/15/ToolPane.aspx?DisplayMode=Edit, который использовался в реальных атаках как точка входа для инъекции вредоносного кода. Дополнительно CISA требует провести тщательное сканирование сетевых логов на предмет взаимодействия с IP-адресами 107.191.58[.]76, 104.238.159[.]149 и 96.9.125[.]147, особенно в период 18-19 июля 2025 года, когда фиксировалась пиковая активность злоумышленников. Эти меры критически важны для выявления уже состоявшихся компрометаций, так как ToolShell оставляет минимальные следы в стандартных системах аудита.

Ситуация с ToolShell высвечивает системные проблемы в управлении уязвимостями корпоративных платформ. SharePoint, будучи ключевым инструментом коллаборации, часто становится мишенью для APT-групп и ransomware-операторов из-за централизованного хранения чувствительной информации. Несвоевременное обновление серверов, особенно в крупных организациях с сложными циклами тестирования, создает окна уязвимости, которыми мгновенно пользуются злоумышленники. Истории с уязвимостями-близнецами (CVE-2025-49704 и CVE-2025-53770) также указывают на необходимость глубокого аудита кода после выпуска патчей, чтобы исключить рекурсивные ошибки. Для компаний, откладывающих апдейты, риски включают не только прямые убытки от краж данных, но и репутационный ущерб, штрафы регуляторов за нарушение GDPR, CCPA или HIPAA, а также судебные иски со стороны клиентов.

В качестве долгосрочных мер специалисты рекомендуют внедрить многоуровневую стратегию защиты: регулярное применение заплаток в рамках строгого графика, сегментацию сетей для изоляции серверов SharePoint, развертывание WAF-решений с сигнатурами для блокировки аномальных запросов, а также непрерывный мониторинг поведения пользователей (UEBA) для выявления аномалий в режиме реального времени. Инцидент с ToolShell служит мрачным напоминанием: в эпоху гибридных войн и коммерциализированного хакерства нулевые дни превращаются в оружие массового поражения цифровой инфраструктуры, а цена промедления измеряется миллионами долларов и потерей доверия. Только проактивность, инвестиции в ИБ-культуру и автоматизацию процессов способны предотвратить катастрофу там, где один не пропатченный сервер становится троянским конем для всей организации.

Эксплуатация CVE-2025-53770 в дикой природе до выпуска фикса - тревожный сигнал для индустрии, подчеркивающий, что даже гиганты вроде Microsoft не застрахованы от критических просчетов, а скорость реакции на инциденты должна измеряться часами, а не днями. Пользователям SharePoint остается надеяться, что текущий патч станет окончательным решением проблемы, а не временной заплаткой на пути к новым, более изощренным атакам на платформу, от которой зависят миллионы бизнес-процессов по всему миру.

IPv4

• 103.186.30.186
• 104.238.159.149
• 107.191.58.76
• 108.162.221.103
• 128.49.100.57
• 154.47.29.4
• 162.158.14.149
• 162.158.14.86
• 162.158.19.169
• 162.158.90.110
• 162.158.94.121
• 162.158.94.72
• 18.143.202.126
• 18.143.202.156
• 18.143.202.185
• 18.143.202.204
• 45.40.52.75
• 96.9.125.147