Исследователи выпустили модуль для фреймворка Metasploit, позволяющий эксплуатировать критические уязвимости нулевого дня в Microsoft SharePoint Server. Это серьезно повышает угрозу для корпоративных платформ совместной работы, так как атаки могут приводить к полному компрометированию систем без необходимости аутентификации.
Уязвимости, получившие идентификаторы CVE-2025-53770 и CVE-2025-53771, представляют собой цепочку атак, позволяющих выполнять произвольный код удаленно. Первые случаи эксплуатации этих уязвимостей были зафиксированы еще 19 июля 2025 года, что говорит о том, что злоумышленники уже активно используют их в реальных атаках.
Технические детали
Разработанный исследователем sfewer-r7 из Rapid7 модуль Metasploit демонстрирует, как можно обойти защиту и получить контроль над SharePoint-сервером через компонент ToolPane, не требуя ни логина, ни пароля.
Эти уязвимости являются своего рода обходом ранее выпущенных заплаток для CVE-2025-49704 и CVE-2025-49706, что свидетельствует о сложности защиты веб-приложений от опытных злоумышленников. Атака основана на векторе десериализации, который позволяет выполнить произвольный код всего через один HTTP-запрос. Модуль поддерживает различные типы полезной нагрузки, включая Meterpreter для создания обратных оболочек и выполнения команд на целевом сервере.
Тестовые демонстрации показали, что эксплойт успешно работает против SharePoint Server 2019 с версией 16.0.10417.20027, получая права уровня SYSTEM. Основной вектор атаки направлен на эндпоинт /_layouts/15/ToolPane.aspx, хотя в некоторых случаях, особенно при использовании Forms Based Authentication, может потребоваться предварительная разведка через /_layouts/15/start.aspx.
Появление этого инструмента в открытом доступе резко снижает уровень сложности эксплуатации уязвимостей SharePoint для киберпреступников. Учитывая, что SharePoint широко используется в корпоративных средах для управления документами и совместной работы, угроза становится особенно опасной. Отсутствие необходимости в аутентификации делает атаку еще проще, так как злоумышленникам не нужно фишинговыми методами добывать учетные данные.
Риски, связанные с этой уязвимостью, огромны: от кража данных до развертывания ransomware и перемещения внутри сети. Организациям, использующим SharePoint, рекомендуется немедленно проверить свои системы на предмет уязвимости и установить все доступные обновления безопасности.
Хотя Microsoft уже выпустила патчи для оригинальных уязвимостей CVE-2025-49704 и CVE-2025-49706, появление новых методов обхода означает, что стандартных мер может быть недостаточно. Временные решения включают сегментацию сети, строгий контроль доступа и мониторинг активности SharePoint.
Эта история еще раз напоминает о том, что безопасность - это непрерывный процесс, а не разовое мероприятие. Даже после установки всех патчей корпорации должны оставаться начеку, так как злоумышленники постоянно ищут новые способы обхода защиты. В ближайшие недели стоит ожидать новых рекомендаций от Microsoft и независимых исследователей, но уже сейчас очевидно: игнорировать эту угрозу нельзя.
