Microsoft potwierdził aktywne wykorzystywanie dwóch wcześniej znanych podatności: CVE‑2025‑49704 (zdalne wykonanie kodu) oraz CVE‑2025‑49706 (spoofing), które umożliwiają pełne przejęcie systemu SharePoint dostępnego z internetu. Wydano także ostrzeżenie o nowych lukach: CVE‑2025‑53770 (deserializacja) i CVE‑2025‑53771 (path traversal), które są już aktywnie eksploatowane.

Źródła ataków

W działaniach wykorzystano łańcuchowy exploit określany jako „ToolShell”, stosowany przez co najmniej trzy grupy powiązane z Chinami:

• Linen Typhoon – grupa szpiegowska działająca od 2012 roku, atakująca instytucje rządowe, edukacyjne i medialne.

• Violet Typhoon – aktywna od 2015 roku, koncentrująca się na sektorze akademickim oraz organizacjach pozarządowych w USA, Europie i Azji.

• Storm-2603 – niezidentyfikowana wcześniej grupa cyberprzestępcza, wykorzystująca luki do wdrażania ransomware, kradzieży kluczy MachineKeys i eskalacji uprawnień.

Przebieg ataku (TTPs)

1. Wejście początkowe – wysyłanie specjalnych żądań HTTP do /layouts/15/ToolPane.aspx, z podrobionym nagłówkiem Referer w celu ominięcia autoryzacji.

2. Deploy webshell – rozkładanie złośliwego skryptu spinstall0.aspx lub DLL w katalogu SharePoint, uruchamianie kodu bez uwierzytelnienia.

3. Lateral movement i eskalacja – użycie narzędzi takich jak Mimikatz, WMI czy PsExec do przemieszczania się w sieci i kradzieży danych logowania.

4. Utrzymanie dostępu – tworzenie zaplanowanych zadań, manipulacja ustawieniami IIS, ładowanie DLL i rotacja MachineKeys.

Skala incydentu

Według danych zebranych przez ekspertów, skompromitowano ponad 400 instancji SharePoint na całym świecie – w tym instytucje rządowe, uczelnie, firmy energetyczne oraz agencje związane z bezpieczeństwem jądrowym. Ataki rozpoczęły się na początku lipca 2025, a intensyfikacja nastąpiła w dniach 17–18 lipca.

Rekomendowane działania

Microsoft opublikował poprawki zabezpieczeń dla następujących wersji SharePoint:

• SharePoint Server Subscription Edition

• SharePoint Server 2019

• SharePoint Server 2016

Zalecenia dla organizacji:

• Natychmiastowe zastosowanie aktualizacji zabezpieczeń.

• Włączenie trybu pełnego AMSI oraz instalacja rozwiązania antywirusowego lub EDR.

• Rotacja kluczy ASP.NET MachineKey po aktualizacji – niezbędna dla unieważnienia skradzionych danych.

• Monitorowanie wskaźników kompromitacji (IoC), w tym niestandardowych plików .aspx, nietypowych połączeń sieciowych, aktywności procesu w3wp.exe i zmian w rejestrze lub GPO.

• Ograniczenie dostępu publicznego do SharePoint do czasu pełnego zabezpieczenia środowiska.

• Wdrożenie narzędzi typu Microsoft Defender for Endpoint lub alternatywnego systemu EDR.

Kluczowe wnioski

• Eksploatowany łańcuch podatności „ToolShell” umożliwia zdalne wykonanie kodu i trwałe przejęcie serwera SharePoint.

• Ataki łączą grupy sponsorowane przez państwa oraz cyberprzestępcze – co wskazuje na szeroką skalę zagrożenia.

• Nawet po załataniu luk, klucze MachineKey mogą być już skompromitowane – dlatego niezbędne są dodatkowe działania porządkowe.

• To jeden z najpoważniejszych incydentów z udziałem SharePoint od lat – organizacje powinny traktować zagrożenie jako krytyczne.

Źródło: microsoft

Wyszukując oferty, stawiam na te najbardziej opłacalne. Wybierając poniższe usługi, wspierasz blog.