Nowy exploit Microsoft SharePoint załatany w awaryjnej aktualizacji zabezpieczeń

Microsoft opublikował awaryjną poprawkę bezpieczeństwa, która ogranicza ataki "ToolShell" wpływające na usługi na całym świecie. Poprawki dla Microsoft SharePoint Subscription Edition i SharePoint 2019 usuwają dwie krytyczne luki w zabezpieczeniach zidentyfikowane jako "CVE-2025-53770" i "CVE-2025-53771".

Obecnie nie są dostępne żadne poprawki dla SharePoint 2016, ale Microsoft poinformował, że pracuje nad nimi. Firma zaleciła administratorom zainstalowanie aktualizacji "KB5002754" dla SharePoint 2019 i aktualizację "KB5002768" dla SharePoint Subscription Edition

Luki te umożliwiają zdalne wykonanie dowolnego kodu na serwerach bez konieczności uwierzytelniania. Exploit "CVE-2025-53770" ma wynik CVSS v3 równy 9,8 i jest aktywnie wykorzystywany na wolności.

Atakujący atakują serwery SharePoint z dostępem do Internetu, a co najmniej dwa z tych ataków są powiązane z grupami ransomware "Silk Typhoon" i "Storm-0506", z których obie są znane z atakowania serwerów korporacyjnych.

Dziura umożliwia atakującym kradzież kluczy i podszywanie się pod użytkowników, nawet jeśli serwer zostanie ponownie uruchomiony lub załatany. Jak dotąd, wersje SharePoint w chmurze nie wydają się być podatne na ataki.

Badacze bezpieczeństwa z Eye Security po raz pierwszy odkryli wady 18 lipca. Amerykańska Agencja Bezpieczeństwa Cybernetycznego i Infrastruktury (CISA) wydała poradę aby włączyć Antimalware Scan Interface (AMSI) i Microsoft Defender AV na wszystkich serwerach SharePoint.

Jeśli nie można włączyć AMSI, zaleca się natychmiastowe odłączenie dotkniętych serwerów od sieci do czasu dalszego rozwiązania.