Специалисты по кибербезопасности фиксируют масштабные атаки на серверы Microsoft SharePoint с использованием двух критических уязвимостей нулевого дня. По данным исследователей, не менее 85 серверов по всему миру уже подверглись компрометации, а злоумышленники активно эксплуатируют недостатки безопасности с конца прошлой недели.
Эволюция атаки ToolShell: от демонстрации к реальным угрозам
Корни текущих атак уходят к майской демонстрации на соревновании Pwn2Own Berlin, где исследователи из Viettel Cyber Security продемонстрировали RCE-атаку ToolShell. Эта атака объединила два дефекта SharePoint: CVE-2025-49706 и CVE-2025-49704, позволяя злоумышленникам выполнять произвольный код на целевых серверах.
Несмотря на то, что Microsoft выпустила исправления для обеих уязвимостей в июле, киберпреступники сумели найти способы обойти установленные патчи. Новые варианты атак получили идентификаторы CVE-2025-53770 (критичность 9,8 баллов по CVSS) и CVE-2025-53771 (критичность 6,3 балла), представляя собой обходы первоначальных исправлений.
Механизм атаки и технические детали
Злоумышленники используют сложную цепочку эксплуатации уязвимостей для достижения полного контроля над целевыми системами. В процессе атаки происходит загрузка вредоносного файла spinstall0.aspx, который служит индикатором компрометации и используется для извлечения критически важных криптографических данных.
Основная цель атакующих — кража конфигурации MachineKey сервера SharePoint, включая ValidationKey и DecryptionKey. Получив доступ к этим криптографическим материалам, злоумышленники могут создавать поддельные токены ViewState с помощью инструмента ysoserial, что открывает возможности для выполнения произвольного кода на сервере.
Роль ViewState в атаке
ViewState представляет собой механизм ASP.NET для сохранения состояния веб-элементов между HTTP-запросами. При компрометации ValidationKey сервера злоумышленники получают возможность подделывать содержимое ViewState и внедрять вредоносный код, который выполняется при десериализации на стороне сервера.
Масштаб воздействия и пострадавшие организации
Исследование, проведенное голландской компанией Eye Security, выявило тревожную картину распространения атак. Среди 54 идентифицированных пострадавших организаций находятся критически важные объекты инфраструктуры, включая:
• Частный университет в Калифорнии
• Коммерческую энергетическую компанию
• Государственную организацию здравоохранения
• Финтех-компанию из Нью-Йорка
• Компанию по разработке ИИ-технологий
Google Threat Intelligence Group подтверждает серьезность ситуации, отмечая, что злоумышленники устанавливают веб-шеллы и похищают криптографические секреты, обеспечивая себе постоянный неавторизованный доступ к скомпрометированным системам.
Меры защиты и рекомендации
Microsoft выпустила экстренное обновление KB5002768 для SharePoint Subscription Edition, однако патчи для версий 2019 и 2016 все еще находятся в разработке. До установки официальных исправлений компания рекомендует:
Немедленные действия: установка последних доступных патчей, включение интеграции AMSI в SharePoint и развертывание Microsoft Defender на всех серверах. Эти меры значительно затрудняют проведение неаутентифицированных атак.
Дополнительные меры: замена ключей SharePoint Server ASP.NET после применения обновлений или включения AMSI предотвращает выполнение вредоносных команд даже в случае успешного взлома.
Обнаружение компрометации
Администраторы могут проверить свои серверы на предмет взлома, найдя файл по пути C:\PROGRA~1\COMMON~1\MICROS~1\WEBSER~1\16\TEMPLATE\LAYOUTS\spinstall0.aspx. Присутствие этого файла является прямым индикатором успешной атаки.
Текущая ситуация с уязвимостями SharePoint демонстрирует важность своевременного применения обновлений безопасности и необходимость многоуровневой защиты критически важных систем. Организациям, использующим on-premises развертывания SharePoint, следует немедленно принять рекомендованные меры защиты и регулярно мониторить свои системы на предмет признаков компрометации.
