В мире информационной безопасности зафиксирована масштабная атака с использованием новой критической уязвимости в Microsoft SharePoint, позволяющей злоумышленникам получать полный контроль над серверами без аутентификации. Эксперты Eye Security обнаружили активную эксплуатацию уязвимости 18 июля 2025 года и связали ее с цепочкой эксплойтов под названием ToolShell, которая использует ранее продемонстрированные на Pwn2Own уязвимости для выполнения удаленного кода.
Широкомасштабная кампания эксплуатации
Уязвимость получила официальный идентификатор CVE-2025-53770 и является модификацией двух других проблем (CVE-2025-49706 и CVE-2025-49704), демонстрировавшихся на конференции Pwn2Own Berlin в мае 2025 года. По данным исследователей, атаки направлены на локальные серверы SharePoint, использующие уязвимый эндпоинт /_layouts/15/ToolPane.aspx. В отличие от стандартных атак с веб-шеллами, этот метод демонстрирует высокий уровень технической сложности.
Атакующие загружают вредоносный ASPX-файл spinstall0.aspx, который извлекает криптографические ключи сервера, включая ValidationKey, используемый для подписи ViewState-запросов. Получив эти ключи, злоумышленники могут подписывать произвольные команды, выдавая их за легитимные запросы SharePoint. Это позволяет им полностью обходить механизмы безопасности и выполнять код на сервере с максимальными привилегиями. Анализ журналов IIS показал, что эксплойт работает даже после выхода пользователя из системы, так как использует специальный Referer-заголовок /_layouts/SignOut.aspx.
Исследователь @irsdl предположил, что именно этот нюанс превратил изначально менее опасную CVE-2025-49706 в гораздо более серьезную CVE-2025-53770. Microsoft подтвердила факт эксплуатации уязвимости, но пока не выпустила официальный патч, ограничившись рекомендациями по обнаружению атак. Эксперты Eye Security предупреждают, что организации не должны ждать официального исправления, так как угроза уже активно используется в реальных атаках.
По данным мониторинга, первые волны атак зафиксированы 18 июля около 18:00 UTC и 19 июля в 07:30 UTC. Злоумышленники смогли быстро адаптировать Proof-of-Concept, представленный на Pwn2Own, превратив его в полноценный инструмент для массовых атак. Учитывая популярность SharePoint в корпоративной среде, уязвимость представляет серьезную угрозу для компаний по всему миру. Пока единственным эффективным способом защиты остается мониторинг подозрительной активности и блокировка несанкционированных запросов к уязвимым эндпоинтам.
Эксперты рекомендуют немедленно проверить серверы SharePoint на предмет компрометации, проанализировать журналы IIS на наличие POST-запросов к ToolPane.aspx с необычными Referer-заголовками, а также рассмотреть возможность временного ограничения доступа к сервису до выхода официального исправления. В противном случае компании рискуют столкнуться с полным захватом своих инфраструктурных узлов, утечкой данных и дальнейшей эскалацией атак внутри корпоративных сетей.
Ссылки
- https://nvd.nist.gov/vuln/detail/CVE-2025-53770
- https://research.eye.security/sharepoint-under-siege/
