Опасная уязвимость в Microsoft SharePoint: злоумышленники атакуют!

Несколько организаций, занимающихся кибербезопасностью, сообщили о волне кибератак, направленных на локальные серверы SharePoint. Злоумышленники используют необнаруженную ранее уязвимость CVE-2025-53770, также известную как ToolShell, чтобы получить полный контроль над серверами без необходимости аутентификации.

Microsoft уже в курсе этих атак и выпустила частичное исправление в рамках июльского обновления безопасности. Важно отметить, что эта проблема касается только тех, кто использует SharePoint Server локально, то есть на своих серверах. Пользователям облачной версии SharePoint Online в Microsoft 365 беспокоиться не о чем.

Чтобы защитить свои данные, пользователям локальных серверов SharePoint рекомендуется как можно скорее установить июльские обновления безопасности:

• Microsoft SharePoint Server Subscription Edition - KB5002768
• Microsoft SharePoint Server 2019 - KB5002754

Пока Microsoft работает над полным устранением уязвимости, вы можете предпринять дополнительные шаги, чтобы снизить риск:

• Используйте только поддерживаемые версии SharePoint Server.
• Установите все последние обновления безопасности, включая июльское обновление 2025 года.
• Убедитесь, что интерфейс сканирования защиты от вредоносных программ (AMSI) включен и правильно работает с вашим антивирусом (например, Microsoft Defender). AMSI – это как "таможня" для вашего сервера, проверяющая весь подозрительный "багаж".
• Разверните Microsoft Defender для Endpoint (или аналогичное решение) для защиты от угроз. Это как установить дополнительную "сигнализацию" на ваш сервер.
• Обновите ключи ASP.NET вашего сервера SharePoint. Это как сменить все замки в вашем доме, чтобы старыми ключами нельзя было воспользоваться.

Microsoft также сообщает, что антивирус Microsoft Defender уже умеет обнаруживать зараженные серверы. Угрозы идентифицируются под следующими именами:

• Exploit:Script/SuspSignoutReq.A
• Trojan:Win32/HijackSharePointServer.A

"Наша команда просканировала более 8000 серверов SharePoint по всему миру и обнаружила десятки скомпрометированных систем," – сообщает компания Eye, занимающаяся кибербезопасностью.

Учитывая, что уязвимость активно используется злоумышленниками, крайне важно, чтобы все администраторы локальных серверов SharePoint немедленно установили обновления и приняли рекомендуемые меры защиты.

В заключение, вот что вам нужно сделать, чтобы защитить свой SharePoint Server:

• Обновиться: Установите последние обновления безопасности от Microsoft.
• Включить защиту: Убедитесь, что AMSI и антивирусное ПО активны и правильно настроены.
• Усилить оборону: Разверните дополнительные средства защиты, такие как Microsoft Defender для Endpoint.
• Следить за новостями: Будьте в курсе последних угроз и рекомендаций по безопасности.

Помните, что безопасность ваших данных – в ваших руках!

Мнение редакции MSReview: Данная уязвимость представляет серьезную угрозу для организаций, использующих локальные версии SharePoint Server. Крайне важно оперативно установить обновления безопасности и следовать рекомендациям Microsoft для минимизации рисков. Игнорирование этой угрозы может привести к несанкционированному доступу к конфиденциальным данным и компрометации всей инфраструктуры SharePoint.