Microsoft potwierdza, iż niektóre grupy, które wcześniej wykorzystywały zero-day w SharePoint Server, zaczęły wdrażać oprogramowanie ransomware – informuje Reuters.
Od cyberszpiegostwa do wymuszeń
Pierwotnie CVE‑2025‑53770 była wykorzystywana przez grupy APT do instalacji backdoorów i kradzieży danych. w tej chwili Microsoft zaobserwował zmianę wektorów ataku – hakerzy wykorzystują już dostęp do infrastruktury, by szyfrować pliki i żądać okupu.
Chodzi o zero-day w lokalnych instancjach SharePoint Server, który umożliwiał wykonanie kodu bez uwierzytelnienia i instalację złośliwych komponentów (web shelli). Choć Microsoft udostępnił awaryjne poprawki, wiele organizacji mogło zostać zaatakowanych jeszcze przed ich instalacją.
Zalecenia: sama instalacja poprawki może nie wystarczyć
Eksperci Microsoftu podkreślają, iż samo zastosowanie poprawki bezpieczeństwa może być niewystarczające. Organizacje, które miały niezabezpieczone instancje SharePoint przed publikacją patcha, powinny przeprowadzić pełny audyt infrastruktury – w tym analizę logów, poszukiwanie złośliwych web shelli oraz rotację certyfikatów i kluczy uwierzytelniających.
