Срочно: Обнаружена активная угроза для Microsoft SharePoint!

Мир столкнулся с новой киберугрозой, и Microsoft выпустила экстренные обновления, чтобы залатать "дыры" в безопасности. В центре внимания – две уязвимости "нулевого дня" в Microsoft SharePoint, которые активно используются для атак на различные организации по всему миру, включая федеральные и региональные агентства в США, университеты, энергетические компании и даже азиатские телекоммуникационные гиганты.

Впервые об этих атаках стало известно 18 июля 2025 года благодаря компании Eye Security, о чем сообщила газета Washington Post. Позже специалисты по кибербезопасности из Check Point выяснили, что первые признаки эксплуатации этих уязвимостей появились еще 7 июля 2025 года.

Что такое "атака нулевого дня"? Это когда злоумышленники находят и используют уязвимость, которая еще не известна разработчикам, то есть, "патча" для неё пока не существует. По оценкам экспертов, под угрозой находятся десятки тысяч серверов.

Важно отметить, что эта проблема касается только тех, кто использует локальные (не облачные) версии SharePoint.

Уязвимости получили кодовые обозначения CVE-2025-53770 и CVE-2025-53771. Подробное описание можно найти в блоге Microsoft Defender Vulnerability Management.

В том же блоге упоминаются и другие проблемы (CVE‑2025‑49704 и CVE‑2025‑49706), которые были устранены обновлениями, выпущенными 8 июля 2025 года. Однако, если злоумышленники используют новые эксплойты, эти уязвимости всё ещё могут быть опасны.

Внеочередные обновления безопасности предназначены для Microsoft SharePoint Server 2019 и Microsoft SharePoint Subscription Edition. На момент публикации статьи патч для Microsoft SharePoint Enterprise Server 2016 ещё не был выпущен.

Что такое ToolShell и почему это опасно?

"ToolShell" – это название, которое дали атакам, использующим уязвимости CVE-2025-53770 и CVE-2025-53771. Эксперты Check Point утверждают, что эти уязвимости активно эксплуатируются прямо сейчас.

Лотем Финкельштейн, директор по анализу угроз в Check Point Research, подчеркнул серьёзность ситуации:

Мы наблюдаем острую и активную угрозу: критическая уязвимость "нулевого дня" в локальной версии SharePoint используется злоумышленниками, подвергая риску тысячи организаций по всему миру. Наша команда зафиксировала десятки попыток взлома в правительственном, телекоммуникационном и технологическом секторах с 7 июля. Мы настоятельно призываем компании немедленно обновить свои системы безопасности, так как эта кампания развивается очень быстро.

Что рекомендуют специалисты Check Point для защиты от угрозы:

• Убедитесь, что у вас включен Anti-Malware Scan Interface (AMSI).
• Обновите ключи машины ASP.NET для SharePoint Server.
• Используйте Harmony Endpoint для блокировки действий после эксплуатации уязвимости на сервере.
• Ограничьте доступ к серверу SharePoint из Интернета с помощью инструментов Private Access (если это возможно).
• Обновите пакет Quantum Gateway IPS 635254838 и убедитесь, что защита настроена на предотвращение и проверку трафика ваших серверов SharePoint.

Microsoft также предлагает ряд мер для смягчения последствий атаки, включая немедленную установку патчей (где они доступны), включение Antimalware Scan Interface (AMSI), смену MachineKey, временное удаление публичного доступа, выявление индикаторов компрометации и изоляцию подозрительных хостов.

MSReview: Эта уязвимость представляет собой серьёзную угрозу для всех организаций, использующих локальные версии Microsoft SharePoint. Оперативное реагирование и применение рекомендуемых мер безопасности – залог защиты от потенциальных атак.