Microsoft выпустила критическое обновление для SharePoint, закрывающее уязвимость CVE-2025-53770 с удалённым выполнением кода

В июле 2025 года Microsoft выпустила важное обновление безопасности для SharePoint, направленное на устранение критической уязвимости CVE-2025-53770. Эта уязвимость позволяет злоумышленникам выполнять удалённый произвольный код на серверах SharePoint и уже была обнаружена в активной эксплуатации.

Описание уязвимости CVE-2025-53770​

Уязвимость связана с ошибкой обработки входных данных в SharePoint Server, из-за чего атакующий может обойти механизмы проверки и выполнить вредоносный код на сервере с правами, аналогичными сервисному аккаунту SharePoint. Это ставит под угрозу целостность и конфиденциальность корпоративных данных, а также безопасность всей инфраструктуры, в которой используется SharePoint.

Критичность уязвимости подтверждена Microsoft, присвоившей ей высокий рейтинг и отметившей активное использование в целевых атаках. Уязвимость затрагивает SharePoint Server 2019 и Subscription Edition. Для SharePoint 2016 патч готовится и будет выпущен в ближайшее время.

Рекомендации по защите и обновлению​

Microsoft настоятельно рекомендует всем администраторам SharePoint немедленно установить соответствующие обновления безопасности, чтобы защитить свои системы. Кроме того, в рамках комплексной стратегии безопасности необходимо предпринять следующие меры:

• Включить и корректно настроить интерфейс сканирования антивируса (AMSI), что позволит обнаруживать вредоносные скрипты и код на этапе выполнения.
• Использовать Microsoft Defender Antivirus для мониторинга и блокировки потенциальных угроз.
• Активировать Microsoft Defender for Endpoint или аналогичные средства EDR (Endpoint Detection and Response) для проактивного обнаружения атак.
• Провести ротацию ключей ASP.NET MachineKey на всех серверах SharePoint. Эта мера повышает безопасность сессий и защищает от возможных атак повторного воспроизведения.

Улучшения в инструментах безопасности Microsoft​

В дополнение к обновлению патчей, Microsoft расширила функциональность Microsoft Defender, добавив новые правила и предупреждения, специфичные для уязвимости CVE-2025-53770 и связанных с ней атак. Это позволяет быстрее выявлять подозрительную активность, повышая уровень защиты на уровне корпоративной инфраструктуры.

Дополнительные рекомендации​

Эксперты советуют внимательно отслеживать аномалии в работе SharePoint и сетевого трафика, уделять внимание логам и оперативно реагировать на потенциальные инциденты безопасности. Важно своевременно информировать пользователей и сотрудников об угрозах, чтобы минимизировать риски фишинговых и целевых атак, связанных с эксплуатацией уязвимости.

Источник

 

[Severnyj]

Как защититься от ToolShell — критические zero-day уязвимости в SharePoint​

Недавно Microsoft выпустила патч для активно эксплуатируемых уязвимостей CVE-2025-53770 и CVE-2025-53771 в Microsoft SharePoint.

Цепочка уязвимостей CVE-2025-53770 и CVE-2025-53771 позволяет удаленно без аутентификации выполнять произвольный код. Это своего рода ProxyLogon 2.0, только для SharePoint! Сейчас доступны несколько PoC для CVE-2025-53770, поэтому интерес к эксплуатации этой уязвимости только подогревается.

Рекомендуем проверить, есть ли в вашем периметре SharePoint-серверы. И если есть — следуйте рекомендациям.

Рекомендации:​

1) Убрать SharePoint-серверы из публичного доступа (например, за VPN).​

​

2) Установить обновления:​

— Июльские (CVE-2025-49701, CVE-2025-49703, CVE-2025-49704, CVE-2025-49706):​

️ SharePoint Server 2016 (KB5002744);​

️ SharePoint Server 2019 (KB5002741);​

— Экстренные (CVE-2025-53770 и CVE-2025-53771):​

️ SharePoint Server 2016 (KB5002759, KB5002760 — патчи выпустили вечером, 21.07.2025);​

️ SharePoint Server 2019 (KB5002753, KB5002754);​

️ SharePoint Server Subscription Edition (KB5002768).​

​

3) Заменить машинные ключи SharePoint и перезапустить IIS или сам сервер (подробно писали в этом посте).​

Как обнаружить эксплуатацию CVE-2025-53770? Что стоит проверить?​

— наличие файла spinstall0.aspx.​

В волнах атак он располагался по путям (отличаются каталогами 15 и 16):

C:\PROGRA~1\COMMON~1\MICROS~1\WEBSER~1\15\TEMPLATE\LAYOUTS\spinstall0.aspx
C:\PROGRA~1\COMMON~1\MICROS~1\WEBSER~1\16\TEMPLATE\LAYOUTS\spinstall0.aspx

С высокой долей вероятности будущие веб-шеллы будут располагаться в других местах и под другими именами, которые зависят от нагрузок для десериализации, поэтому необходимо также исследовать IIS-логи.

— наличие файла C:\Program Files\Common Files\microsoft shared\Web Server Extensions\16\TEMPLATE\LAYOUTS\debug_dev.js.​

— логи IIS на наличие:​

POST-запросов на /_layouts/15/ToolPane.aspx?DisplayMode=Edit c Referrer /_layouts/SignOut.aspx;​

GET-запросов на /_layouts/15/spinstall0.aspx;​

Других GET-запросов на подозрительные aspx-файлы.​

Для детектирования атак/сканирования на IDS/WAF можно написать правило, которое блокирует POST запросы на URI /_layouts/15/ToolPane.aspx?DisplayMode=Edit c заголовком Referrer /_layouts/SignOut.aspx.


Источник