W lipcu 2025 r. ujawniono i natychmiast zauważono aktywne wykorzystanie poważnych luk bezpieczeństwa w oprogramowaniu Microsoft SharePoint, powszechnie wykorzystywanym przez organizacje na całym świecie. Sytuacja objęła zarówno sektor rządowy, jak i korporacyjny. Skala zagrożenia doprowadziła do pilnych komunikatów ze strony Microsoft, jak i instytucji rządowych, w tym agencji CISA czy CERT-EU, nakłaniających do natychmiastowej aktualizacji i monitorowania środowisk SharePoint.
SharePoint to rozbudowana platforma firmy Microsoft, umożliwiająca zarządzanie dokumentami, współpracę zespołową oraz integrację z innymi usługami Office, takimi jak Teams, OneDrive czy Outlook. Wersje serwerowe (on-premises) SharePoint od lat pozostają sercem infrastruktury informatycznej wielu urzędów państwowych, korporacyjnych intranetów i krytycznych procesów biznesowych. Utrzymywanie poufności, integralności oraz ciągłości działania systemów opartych o SharePoint jest najważniejsze dla bezpieczeństwa informacji i operacyjności firm.
Wykryty na początku lipca zestaw powiązanych podatności oznaczono jako CVE-2025-49704, CVE-2025-49706, CVE-2025-53770 („ToolShell”), a także CVE-2025-53771. Najgroźniejsza z nich – CVE-2025-53770 – dotyczy deserializacji niezaufanych danych, co pozwala nieautoryzowanemu napastnikowi na zdalne wykonanie kodu w infrastrukturze SharePoint. Dzięki złożonemu łańcuchowi tych podatności, możliwe było uzyskanie nieautoryzowanego, szerokiego dostępu do serwerów, kradzież kluczy kryptograficznych (MachineKey), a także trwała kompromitacja zasobów informatycznych. Ataki umożliwiały przestępcom dostęp do wszystkich zgromadzonych plików oraz mechanizmów konfiguracyjnych platformy, omijając przy tym uwierzytelnianie, w tym zabezpieczenia typu Single Sign-On czy Multi-Factor Authentication. Incydenty dotyczą wersji on-premises SharePoint Server 2016, 2019 oraz Subscription Edition. Wersja SharePoint Online w usłudze Microsoft 365 nie jest dotknięta tą podatnością.
Zdaniem Microsoft oraz firm zajmujących się cyberbezpieczeństwem, pierwsze próby ataków zanotowano już 7 lipca, a po publicznej publikacji szczegółów w kolejnych dniach aktywność cyberprzestępców gwałtownie wzrosła. Kampania dotyczyła setek organizacji na całym świecie, a ataki miały miejsce m.in. w instytucjach rządowych, sektorze telekomunikacji oraz branży technologicznej w Ameryce Północnej i Europie. Próby kompromitacji systemów doprowadziły w niektórych przypadkach do wdrożenia ransomware oraz utraty wrażliwych danych.
Microsoft wydał pilne biuletyny bezpieczeństwa oraz niezwykle istotne aktualizacje oprogramowania, usuwające źródło podatności dla wspieranych wersji SharePoint. Jednocześnie firma zaleciła rotację wszystkich kluczy kryptograficznych i bardzo dokładną analizę środowisk pod kątem oznak włamania. Agencje takie jak CISA i CERT-EU przekazały komunikaty o natychmiastowej potrzebie wdrożenia aktualizacji dla wszystkich korzystających z on-premises SharePoint Server oraz – jeżeli to technicznie możliwe – odseparowania tych serwerów od internetu do momentu zabezpieczenia systemów
