Microsoft SharePoint подвергся масштабным атакам с использованием уязвимости нулевого дня.

Агентство по кибербезопасности и безопасности инфраструктуры (CISA) сообщило о том, что выявлена новая уязвимость удаленного выполнения кода (RCE), активно эксплуатируемая на серверах Microsoft SharePoint, установленных локально. Уязвимость, зарегистрированная как CVE-2025-53770, является разновидностью ранее известной CVE-2025-49706 и представляет серьезные риски для организаций, позволяя несанкционированный доступ.

Microsoft SharePoint под атакой нулевого дня: рекомендации по уязвимости CVE-2025-53770

Эта техника эксплуатации, получившая название “ToolShell”, предоставляет неаутентифицированным злоумышленникам полный доступ к системам SharePoint, включая файловые структуры, внутренние конфигурации и возможность выполнения кода удаленно через сети. Хотя полная оценка масштаба и воздействия еще продолжается, специалисты по безопасности настоятельно рекомендуют принять меры для снижения возможного ущерба.

Рекомендованные действия от CISA

Для снижения риска, связанного с CVE-2025-53770, CISA предлагает организациям предпринять следующие шаги:

• Настроить интерфейс сканирования на вредоносное ПО (AMSI) в SharePoint и убедиться, что Microsoft Defender Antivirus установлен на всех серверах SharePoint.
• Организациям, не имеющим возможности включить AMSI, рекомендуется отключить затронутые публичные продукты от интернета до выхода официальных исправлений. Применяйте любые предстоящие исправления в соответствии с инструкциями CISA и Microsoft.
• Следовать применимым директивам Binding Operational Directive (BOD) 22-01 для облачных сервисов или прекратить использование продукта, если исправления недоступны.
• Обратитесь к опубликованным Microsoft рекомендациям по уязвимости SharePoint и советам по CVE-2025-49706 для получения детальной информации по обнаружению, предотвращению и охоте на угрозы.
• Мониторинг запросов POST к /_layouts/15/ToolPane.aspx?DisplayMode=Edit.
• Провести сканирование следующих IP-адресов, уделяя особое внимание трафику в период с 18 по 19 июля 2025 года:
• 107.191.58[.]76, 104.238.159[.]149 и 96.9.125[.]147.
• Обновить правила систем предотвращения вторжений (IPS) и межсетевых экранов веб-приложений (WAF), чтобы блокировать известные шаблоны эксплуатации и аномальные активности. CISA предоставляет более подробную информацию в своих руководствах по внедрению SIEM и SOAR.
• Реализовать комплексные стратегии логирования для помощи в выявлении эксплуатационных действий. Более подробная информация доступна в лучших практиках CISA для журналирования событий и обнаружения угроз.
• Пересмотреть и сократить ненужные привилегии макета и административные привилегии.

CVE-2025-53770 официально добавлена в каталог известных эксплуатируемых уязвимостей (KEV) CISA 20 июля 2025 года. Дополнительные сведения доступны через отчеты Eye Security и Palo Alto Networks Unit42.