Kritická bezpečnostná zraniteľnosť v Microsoft SharePoint Server bola využitá ako súčasť „aktívnej, rozsiahlej“ kampane zneužívania.
Zero-day chyba, evidovaná ako CVE-2025-53770 (CVSS skóre: 9,8), bola opísaná ako varianta CVE-2025-49704 (CVSS skóre: 8,8), chyby injekcie kódu a vzdialeného spustenia kódu v Microsoft SharePoint Server, ktorú technologický gigant vyriešil ako súčasť svojich aktualizácií Patch Tuesday z júla 2025.
„Deserializácia nedôveryhodných údajov v lokálnom Microsoft SharePoint Server umožňuje neoprávnenému útočníkovi spustiť kód cez sieť,“ uviedol Microsoft v oznámení vydanom 19. júla 2025.
Výrobca systému Windows ďalej poznamenal, že pripravuje a úplne testuje komplexnú aktualizáciu na vyriešenie problému. Za objavenie a nahlásenie chyby poďakoval spoločnosti Viettel Cyber Security, ktorá ju nahlásila prostredníctvom iniciatívy Zero Day Initiative spoločnosti Trend Micro.
V samostatnom varovaní vydanom v sobotu spoločnosť Redmond uviedla, že si je vedomá aktívnych útokov zameraných na zákazníkov používajúcich lokálny SharePoint Server, no zdôraznila, že SharePoint Online v Microsoft 365 nie je ovplyvnený.
Útočníci, ktorí zneužívajú túto chybu, neinjektujú len ľubovoľný kód – zneužívajú spôsob, akým SharePoint deserializuje nedôveryhodné objekty, čo im umožňuje vykonávať príkazy ešte pred samotným overením. Po preniknutí môžu vytvárať dôveryhodné dátové balíky pomocou odcudzených strojových kľúčov, aby si udržali prístup alebo sa laterálne pohybovali v sieti, často splývajúc s legitímnou aktivitou SharePointu – čo robí detekciu a reakciu obzvlášť náročnou bez hlbokej viditeľnosti na koncových bodoch.
V neprítomnosti oficiálnej opravy Microsoft nalieha na zákazníkov, aby nakonfigurovali integráciu Antimalware Scan Interface (AMSI) v SharePointe a nasadili Defender AV na všetky SharePoint servery.
Za zmienku stojí, že integrácia AMSI je predvolene zapnutá v bezpečnostnej aktualizácii zo septembra 2023 pre SharePoint Server 2016/2019 a vo funkčnej aktualizácii Version 23H2 pre SharePoint Server Subscription Edition.
Pre tých, ktorí nemôžu AMSI povoliť, sa odporúča, aby bol SharePoint Server odpojený od internetu, kým nebude dostupná bezpečnostná aktualizácia. Pre dodatočnú ochranu sa používateľom odporúča nasadiť Defender for Endpoint, aby sa detegovala a blokovala aktivita po zneužití.
Zverejnenie prichádza v čase, keď Eye Security a Palo Alto Networks Unit 42 varovali pred útokmi, ktoré kombinujú CVE-2025-49706 (CVSS skóre: 6,3), chybu spoofingu v SharePointe, a CVE-2025-49704, aby umožnili vykonanie ľubovoľných príkazov na zraniteľných inštanciách. Tento reťazec zneužitia dostal kódové označenie ToolShell.
Keďže však CVE-2025-53770 je „variantom“ CVE-2025-49704, predpokladá sa, že tieto útoky spolu súvisia.
Eye Security uviedla, že rozsiahle útoky, ktoré identifikovala, využívajú CVE-2025-49706 na odoslanie (POST) dátového balíka pre vzdialené spustenie kódu, ktorý zneužíva CVE-2025-49704. „Domnievame sa, že zistenie, že pridaním ‚_layouts/SignOut.aspx‘ ako HTTP referera sa z CVE-2025-49706 stáva CVE-2025-53770,“ uviedla spoločnosť.
Za zmienku stojí, že ZDI charakterizovala CVE-2025-49706 ako zraniteľnosť obchádzajúcu autentifikáciu, ktorá vyplýva zo spôsobu, akým aplikácia spracováva hlavičku HTTP Referer poskytnutú koncovému bodu ToolPane („/_layouts/15/ToolPane.aspx“).
Škodlivá aktivita v podstate zahŕňa doručovanie ASPX dátových balíkov cez PowerShell, ktoré sa následne používajú na krádež konfigurácie MachineKey SharePoint servera, vrátane ValidationKey a DecryptionKey, aby si útočníci udržali trvalý prístup.
Holandská kyberbezpečnostná spoločnosť uviedla, že tieto kľúče sú kľúčové pre generovanie platných __VIEWSTATE dátových balíkov a že získanie prístupu k nim v podstate premieňa akúkoľvek autentifikovanú požiadavku v SharePointe na príležitosť pre vzdialené spustenie kódu.
„Stále identifikujeme vlny hromadného zneužívania,“ uviedol technický riaditeľ Eye Security Piet Kerkhofs pre The Hacker News vo vyhlásení. „Toto bude mať obrovský dopad, pretože protivníci sa laterálne pohybujú pomocou tohto vzdialeného spúšťania kódu veľmi rýchlo.“
Viac ako 85 SharePoint serverov po celom svete bolo k momentu písania identifikovaných ako kompromitovaných škodlivým webovým shellom. Tieto napadnuté servery patria 29 organizáciám, vrátane nadnárodných firiem a vládnych subjektov.
„__VIEWSTATE je základný mechanizmus v ASP.NET, ktorý uchováva stavové informácie medzi požiadavkami,“ povedal generálny riaditeľ watchTowr Benjamin Harris. „Je kryptograficky podpísaný a voliteľne šifrovaný pomocou ValidationKey a DecryptionKey.“
„S týmito kľúčmi v rukách môžu útočníci vytvárať sfalšované __VIEWSTATE dátové balíky, ktoré SharePoint prijme ako platné – čo umožňuje plynulé vzdialené spúšťanie kódu. Tento prístup robí nápravu obzvlášť náročnou – bežná oprava by automaticky neotočila tieto odcudzené kryptografické tajomstvá, čím zostávajú organizácie zraniteľné aj po aplikovaní záplaty.“
Harris tiež poukázal na to, že zatiaľ nie je jasné, či niektoré aktivity spojené s CVE-2025-53770 neprekrývajú alebo neboli nesprávne pripísané chybám CVE-2025-49704 alebo CVE-2025-49706.
Americká agentúra pre kybernetickú bezpečnosť a bezpečnosť infraštruktúry (CISA) vo varovaní uviedla, že si je vedomá aktívneho zneužívania CVE-2025-53770, ktoré umožňuje neautentifikovaný prístup k SharePoint systémom a ľubovoľné spúšťanie kódu cez sieť.
„CISA sa o zneužití dozvedela od dôveryhodného partnera a okamžite sme kontaktovali Microsoft, aby konal,“ uviedol Chris Butera, dočasný výkonný zástupca riaditeľa pre kybernetickú bezpečnosť. „Microsoft reaguje rýchlo a spolupracujeme so spoločnosťou na informovaní potenciálne zasiahnutých subjektov o odporúčaných opatreniach. CISA vyzýva všetky organizácie s lokálnymi Microsoft SharePoint servermi, aby okamžite podnikli odporúčané kroky.“
„Toto je dôležitý príklad operačnej spolupráce v praxi pre ochranu domácej a národnej bezpečnosti. Takýto rýchly proces identifikácie a reakcie na kybernetické hrozby je možný vďaka dôvere a spolupráci medzi výskumnou komunitou, technologickými poskytovateľmi a CISA.“
Na žiadosť o komentár spoločnosť Microsoft pre dané médium uviedla, že v tomto štádiu nemá čo zdieľať nad rámec pokynov pre zákazníkov. Spoločnosť medzitým vydala opravu pre CVE-2025-53770 a novozistenú chybu evidovanú ako CVE-2025-53771.
Viac informácií môžete nájsť tu:
https://thehackernews.com/2025/07/critical-microsoft-sharepoint-flaw.html