Kritična sigurnosna ranjivost u Microsoft SharePoint Serveru iskorištena je kao oružje u okviru “aktivne, velike” kampanje iskorištavanja.
Zero-day greška, praćena kao CVE-2025-53770 (CVSS rezultat: 9,8), opisana je kao varijanta CVE-2025-49704 (CVSS rezultat: 8,8), greške ubrizgavanja koda i udaljenog izvršavanja koda u Microsoft SharePoint Serveru koju je tehnološki gigant riješio kao dio svojih ažuriranja Patch Tuesday u julu 2025. godine.
„Deserijalizacija nepouzdanih podataka u lokalnom Microsoft SharePoint Serveru omogućava neovlaštenom napadaču da izvrši kod preko mreže“, navodi Microsoft u savjetodavnom upozorenju objavljenom 19. jula 2025. godine.
Proizvođač Windowsa je dalje napomenuo da priprema i u potpunosti testira sveobuhvatno ažuriranje kako bi riješio problem. Zahvalnost je pripisan kompaniji Viettel Cyber Security za otkrivanje i prijavljivanje greške putem Trend Micro Zero Day Initiative (ZDI).
U odvojenom upozorenju izdatom u subotu, Redmond je saopštio da je svjestan aktivnih napada usmjerenih na lokalne korisnike SharePoint Servera, ali je naglasio da SharePoint Online u Microsoft 365 nije pogođen.
Napadači koji iskorištavaju ovu grešku ne ubacuju samo proizvoljni kod – oni zloupotrebljavaju način na koji SharePoint deserializira nepouzdane objekte, omogućavajući im izvršavanje naredbi čak i prije nego što se izvrši autentifikacija. Jednom kada uđu, mogu krivotvoriti pouzdane korisne podatke koristeći ukradene ključeve mašine kako bi ostali u toku ili se kretali bočno, često se stapajući s legitimnim aktivnostima SharePointa – što otkrivanje i odgovor čini posebno teškim bez dubinske vidljivosti krajnjih tačaka.
U nedostatku službene zakrpe, Microsoft poziva korisnike da konfigurišu integraciju Antimalware Scan Interface (AMSI) u SharePointu i implementiraju Defender AV na svim SharePoint serverima.
Vrijedi napomenuti da je AMSI integracija omogućena prema zadanim postavkama u sigurnosnom ažuriranju za SharePoint Server 2016/2019 iz septembra 2023. i ažuriranju funkcije Verzija 23H2 za SharePoint Server Subscription Edition.
Za one koji ne mogu omogućiti AMSI, preporučuje se da SharePoint Server budu isključeni s interneta dok ne bude dostupno sigurnosno ažuriranje. Za dodatnu zaštitu, korisnicima se preporučuje da implementiraju Defender for Endpoint kako bi otkrili i blokirali aktivnosti nakon iskorištavanja.
Ovo otkriće dolazi nakon što su Eye Security i Palo Alto Networks Unit 42 upozorili na napade koji povezuju CVE-2025-49706 (CVSS rezultat: 6,3), grešku lažiranja u SharePointu, i CVE-2025-49704 kako bi se olakšalo izvršavanje proizvoljnog naredbe na ranjivim instancama. Lanac iskorištavanja je kodnog naziva ToolShell .
Ali s obzirom na to da je CVE-2025-53770 “varijanta” CVE-2025-49704, sumnja se da su ovi napadi povezani.
Eye Security je saopštio da napadi širokog obima koje je identificirao koriste CVE-2025-49706 za slanje podataka o udaljenom izvršavanju koda koji iskorištava CVE-2025-49704. “Vjerujemo da nalaz da dodavanje ‘_layouts/SignOut.aspx’ kao HTTP reference pretvara CVE-2025-49706 u CVE-2025-53770”, rekli su.
Vrijedi spomenuti da je ZDI okarakterisap CVE-2025-49706 kao ranjivost zaobilaženja autentifikacije koja proizlazi iz načina na koji aplikacija obrađuje HTTP Referer zaglavlje dostavljeno krajnjoj tački ToolPane-a (“/_layouts/15/ToolPane.aspx”).
Maliciozni aktivnost u suštini uključuje isporuku ASPX sadržaja putem PowerShella, koji se zatim koristi za krađu konfiguracije MachineKey- a SharePoint servera , uključujući ValidationKey i DecryptionKey, kako bi se održao trajni pristup.
Holandska kompanija za sajber sigurnost saopštila je da su ovi ključevi ključni za generisanje validnih __VIEWSTATE korisnih podataka i da dobijanje pristupa njima efektivno pretvara svaki autentifikovani SharePoint zahtjev u priliku za udaljeno izvršavanje koda.
„Još uvijek identificiramo masovne valove iskorištavanja“, rekao je Piet Kerkhofs, tehnički direktor Eye Securityja, u izjavi za The Hacker News. „Ovo će imati ogroman utjecaj jer se protivnici sve brže kreću koristeći ovo udaljeno izvršavanje koda.“
Do trenutka pisanja ovog teksta, više od 85 SharePoint servera širom svijeta identifikovano je kao kompromitovano maliciozni web shell-om. Ovi hakirani serveri pripadaju 29 organizacija, uključujući multinacionalne kompanije i vladine subjekte.
„__VIEWSTATE je osnovni mehanizam u ASP.NET-u koji pohranjuje informacije o stanju između zahtjeva“, rekao je izvršni direktor watchTowra, Benjamin Harris. „Kriptografski je potpisan i opcionalno šifriran pomoću ValidationKey i DecryptionKey.“
“S ovim ključevima u ruci, napadači mogu kreirati krivotvorene __VIEWSTATE korisne podatke koje će SharePoint prihvatiti kao validne – omogućavajući besprijekorno izvršavanje udaljenog koda. Ovaj pristup čini sanaciju posebno teškom – tipična zakrpa ne bi automatski rotirala ove ukradene kriptografske tajne, ostavljajući organizacije ranjivim čak i nakon što ih zakrpe.”
Harris je takođe istakao da još nije jasno da li se neke od aktivnosti povezanih sa CVE-2025-53770 možda preklapaju sa ili su pogrešno pripisane CVE-2025-49704 ili CVE-2025-49706.
Američka Agencija za sajber sigurnost i sigurnost infrastrukture (CISA) je u upozorenju saopštila da je svjesna aktivnog iskorištavanja CVE-2025-53770, koji omogućava neautentificirani pristup SharePoint sistemima i izvršavanje proizvoljnog koda preko mreže.
„CISA je obaviješten o iskorištavanju od strane pouzdanog partnera i odmah smo kontaktirali Microsoft kako bismo preduzeli mjere“, rekao je vršilac dužnosti izvršnog pomoćnika direktora za sajber sigurnost, Chris Butera. „Microsoft brzo reaguje i sarađujemo s kompanijom kako bismo pomogli u obavještavanju potencijalno pogođenih subjekata o preporučenim mjerama ublažavanja. CISA ohrabruje sve organizacije sa lokalnim Microsoft SharePoint serverima da odmah preduzmu preporučene mjere.“
“Ovo je važan primjer operativne saradnje u akciji za državnu i nacionalnu sigurnost. Ova vrsta brze identifikacije i odgovora na sajber prijetnje moguća je zahvaljujući povjerenju i saradnji koja je izgrađena između istraživačke zajednice, dobavljača tehnologije i CISA-e.”
Kada je kontaktiran za komentar, Microsoft je rekao publikaciji da u ovoj fazi nema ništa za podijeliti osim smjernica za korisnike. Kompanija je od tada objavila zakrpu za CVE-2025-53770 i novootkrivenu grešku označenu kao CVE-2025-53771. Molimo pogledajte ovaj članak za više detalja.
(Microsoft je od tada pojasnio da CVE-2025-53770 dodaje više zaštita za CVE-2025-49704. Također je otkrio novu manu CVE-2025-53771 za koju kažu da uključuje više zaštita od CVE-2025-49706. Ovo ukazuje na to da postoje dvije nove zero-day greške, koje su obje zaobilaženje originalnih Microsoftovih ispravki ranije ovog mjeseca. Priča je ažurirana kako bi odražavala ove promjene.).
Izvor:The Hacker News
