Analitycy bezpieczeństwa cybernetycznego z Check Point Research ostrzegają przed krytyczną luką zero-day w środowiskach lokalnych Microsoft SharePoint. Błąd, oznaczony jako CVE-2025-53770, ma być już aktywnie wykorzystywany przez cyberprzestępców działających na zlecenie wywiadów wybranych państw. Może to być kolejny akt szpiegostwa skierowany w rządy i instytucje publiczne – sektor zmagający się z ponad 2000 ataków w tygodniu!
Kampania, nazwana przez badaczy cyberbezpieczeństwa „ToolShell”, umożliwia nieautoryzowany dostęp do serwerów SharePoint, dając napastnikom możliwość zdalnego wykonania dowolnego kodu. Od 7 lipca potwierdzono dziesiątki przypadków naruszeń w sektorach rządowym, telekomunikacyjnym i firmach z obszaru software development – głównie w Ameryce Północnej i Europie Zachodniej. Uderzono m.in. w państwo zachodnie o wysokim profilu, którego tożsamość nie została ujawniona.
Według Lotema Finkelsteina, dyrektora działu wywiadu zagrożeń w Check Point Research, „działania mają charakter cichy, wysoce ukierunkowany i noszą znamiona działań państwowych”. Wskazuje to na możliwość prowadzenia cyfrowej operacji szpiegowskiej na szeroką skalę. Co więcej, atakujący wykorzystują nie tylko nową lukę w SharePoint, ale także znane błędy w systemach Ivanti (CVE-2025-4427 i CVE-2025-4428), łącząc je w tzw. „łańcuchy eksploatacji”.
Atak działa w oparciu o niestandardowy webshell osadzony w parametrach VIEWSTATE, co umożliwia tzw. ataki deserializacji. Tego typu techniki pozwalają na ominięcie zabezpieczeń i długoterminową infiltrację systemów.
Nasilenie, przede wszystkim rosyjskiej, aktywności szpiegowskiej oraz cyberprzestępczej w Europie widoczne jest od wielu miesięcy. W lutym br. komunikat w sprawie cyberataków wydał Pełnomocnik Rządu ds. Cyberbezpieczeństwa. “Co ważne, niektóre z tych ataków miały wpływ na rzeczywiste działanie systemów, a ich skutki odczuli odbiorcy usług” – stwierdzono w piśmie Ministra Cyfryzacji. W marcu uruchomiono program “Cyberbezpieczny wodociąg”, mający na celu edukację przedsiębiorstw i “wzmocnienie odporności’’. Podobna sytuacja ma miejsce w Niemczech. – Mówimy o znacznym wzroście przypadków szpiegostwa i działań hybrydowych. Podejście jest bardziej zmasowane, a także bardziej agresywne – powiedziała agencji DPA Martina Rosenberg, szefowa niemieckiej służby kontrwywiadu wojskowego MAD.
Cyberszpiedzy wybierają cele. Jak poradzić sobie z atakiem?
Hakerzy starają się wykorzystać fakt, iż Microsoft nie opublikował jeszcze pełnej poprawki. Choć w USA nie potwierdzono na razie skutecznych ataków na agencje federalne, to urzędy stanowe są w tej chwili intensywnie sondowane pod kątem tej podatności.
Specjaliści Check Pointa zalecają natychmiastowe działania: rotację kluczy ASP.NET, włączenie mechanizmów skanowania antymalware, ograniczenie dostępu do serwerów SharePoint z internetu oraz instalację aktualizacji IPS (pakiet 635254838). Eksperci zaznaczają, że nie jest to zwykła luka w oprogramowaniu, a podatność w systemie bezpieczeństwa całych państw!
