Експерти з кібербезпеки фіксують хвилю масштабних атак на сервери Microsoft SharePoint із використанням двох критичних уразливостей нульового дня. За даними дослідників, понад 85 серверів у всьому світі вже зазнали компрометації, а кіберзловмисники активно експлуатують недоліки безопеки з кінця минулого тижня.
Від концепції до реальних загроз: еволюція атаки ToolShell
Витоки поточних атак сягають травневої демонстрації на змаганні Pwn2Own Berlin, де дослідники з Viettel Cyber Security представили RCE-атаку ToolShell. Ця атака поєднала два дефекти SharePoint: CVE-2025-49706 та CVE-2025-49704, дозволяючи зловмисникам виконувати довільний код на цільових серверах.
Попри те, що Microsoft випустила виправлення для обох уразливостей у липні, кіберзлочинці знайшли способи обійти встановлені патчі. Нові варіанти атак отримали ідентифікатори CVE-2025-53770 (критичність 9,8 балів за CVSS) та CVE-2025-53771 (критичність 6,3 бала), представляючи собою обходи початкових виправлень.
Технічні деталі та механізм проведення атаки
Зловмисники використовують складний ланцюжок експлуатації уразливостей для досягнення повного контролю над цільовими системами. У процесі атаки відбувається завантаження шкідливого файлу spinstall0.aspx, який слугує індикатором компрометації та використовується для витягування критично важливих криптографічних даних.
Основна мета атакуючих — крадіжка конфігурації MachineKey сервера SharePoint, включаючи ValidationKey та DecryptionKey. Отримавши доступ до цих криптографічних матеріалів, зловмисники можуть створювати підроблені токени ViewState за допомогою інструменту ysoserial, що відкриває можливості для виконання довільного коду на сервері.
Роль ViewState у структурі атаки
ViewState є механізмом ASP.NET для збереження стану веб-елементів між HTTP-запитами. При компрометації ValidationKey сервера зловмисники отримують можливість підробляти вміст ViewState та впроваджувати шкідливий код, який виконується при десеріалізації на стороні сервера.
Масштаб впливу та постраждалі організації
Дослідження, проведене голландською компанією Eye Security, виявило тривожну картину поширення атак. Серед 54 ідентифікованих постраждалих організацій знаходяться критично важливі об’єкти інфраструктури, включаючи:
• Приватний університет у Каліфорнії
• Комерційну енергетичну компанію
• Державну організацію охорони здоров’я
• Фінтех-компанію з Нью-Йорка
• Компанію з розробки ШІ-технологій
Google Threat Intelligence Group підтверджує серйозність ситуації, зазначаючи, що зловмисники встановлюють веб-шели та викрадають криптографічні секрети, забезпечуючи собі постійний неавторизований доступ до скомпрометованих систем.
Заходи захисту та рекомендації безпеки
Microsoft випустила екстрене оновлення KB5002768 для SharePoint Subscription Edition, однак патчі для версій 2019 та 2016 все ще перебувають у розробці. До встановлення офіційних виправлень компанія рекомендує:
Невідкладні дії: встановлення останніх доступних патчів, увімкнення інтеграції AMSI в SharePoint та розгортання Microsoft Defender на всіх серверах. Ці заходи значно ускладнюють проведення неаутентифікованих атак.
Додаткові заходи: заміна ключів SharePoint Server ASP.NET після застосування оновлень або увімкнення AMSI запобігає виконанню шкідливих команд навіть у разі успішного злому.
Виявлення ознак компрометації
Адміністратори можуть перевірити свої сервери на предмет злому, знайшовши файл за шляхом C:\PROGRA~1\COMMON~1\MICROS~1\WEBSER~1\16\TEMPLATE\LAYOUTS\spinstall0.aspx. Присутність цього файлу є прямим індикатором успішної атаки.
Поточна ситуація з уразливостями SharePoint демонструє критичну важливість своєчасного застосування оновлень безпеки та необхідність багаторівневого захисту критично важливих систем. Організаціям, які використовують локальні розгортання SharePoint, слід негайно прийняти рекомендовані заходи захисту та регулярно моніторити свої системи на предмет ознак компрометації.
