Из-за критической уязвимости CVE-2025-53770 в локальных версиях Microsoft SharePoint Server организации по всему миру стали жертвами крупной кибератаки. Уязвимость позволяет удаленно выполнять произвольный код и используется в активных целевых атаках на госструктуры, вузы, телеком и энергетические компании.
Суть уязвимости
Проблема связана с десериализацией недоверенных данных в локально установленных SharePoint-серверах. Уязвимость активно эксплуатируется до выхода официальных патчей (zero-day).
Под удар попали госучреждения США, телеком в Азии, энергетические и образовательные организации. Число взломанных серверов может доходить до десятков тысяч.
Цепочка атаки
Обнаружение и последствия
Атака трудноотслеживаемая: вредоносный трафик маскируется под легитимный. Потенциально может быть скомпрометирована вся внутренняя ИТ-инфраструктура — Outlook, Teams, OneDrive и др.
Уязвимость не затрагивает облачную версию SharePoint Online (Microsoft 365).
Индикаторы компрометации (IoC)
Ответ Microsoft и рекомендации
Выпущены обновления для SharePoint Server 2019 и Subscription Edition. Для версии 2016 патча пока нет. Microsoft рекомендует:
Реакция специалистов
ФБР, CISA, а также канадские и австралийские спецслужбы участвуют в расследовании. Эксперты советуют исходить из предположения о компрометации всех незащищённых серверов и срочно инициировать анализ инцидентов и форензик.
Суть уязвимости
Проблема связана с десериализацией недоверенных данных в локально установленных SharePoint-серверах. Уязвимость активно эксплуатируется до выхода официальных патчей (zero-day).
Под удар попали госучреждения США, телеком в Азии, энергетические и образовательные организации. Число взломанных серверов может доходить до десятков тысяч.
Цепочка атаки
- Обход аутентификации. Через уязвимость CVE-2025-49706 и подмену HTTP-заголовка Referer, атака стартует без логина, MFA и SSO.
- Десериализация .NET-объектов. Сервис ToolPane принимает вредоносные объекты без валидации, позволяя выполнить произвольный код.
- Загрузка web shell. Устанавливается скрытый .aspx-файл spinstall0.aspx, который извлекает криптографические ключи (ValidationKey, DecryptionKey) из конфигурации сервера.
- Подделка __VIEWSTATE. Скомпрометированные ключи позволяют создавать вредоносные, но подписанные __VIEWSTATE-объекты, обеспечивая постоянный доступ и RCE даже после перезагрузки.
- Минимум усилий со стороны атакующего. Вся атака умещается в одном HTTP-запросе, что упрощает массовые атаки, скрывает действия от SIEM и позволяет обходить защиту.
- Бесполезность SSO и MFA. Аутентификация полностью обходится — злоумышленник проникает в систему без учётной записи или токена.
Обнаружение и последствия
Атака трудноотслеживаемая: вредоносный трафик маскируется под легитимный. Потенциально может быть скомпрометирована вся внутренняя ИТ-инфраструктура — Outlook, Teams, OneDrive и др.
Уязвимость не затрагивает облачную версию SharePoint Online (Microsoft 365).
Индикаторы компрометации (IoC)
- Наличие spinstall0.aspx в шаблонах SharePoint.
- Подозрительные PowerShell-процессы из-под w3wp.exe.
- POST-запросы к /ToolPane.aspx с Referer: /_layouts/SignOut.aspx.
- Необычная активность без следов входа в систему.
Ответ Microsoft и рекомендации
Выпущены обновления для SharePoint Server 2019 и Subscription Edition. Для версии 2016 патча пока нет. Microsoft рекомендует:
- Срочно обновиться.
- Включить AMSI.
- Использовать EDR-защиту (например, Defender for Endpoint).
- Изолировать уязвимые серверы и сменить криптоключи.
Реакция специалистов
ФБР, CISA, а также канадские и австралийские спецслужбы участвуют в расследовании. Эксперты советуют исходить из предположения о компрометации всех незащищённых серверов и срочно инициировать анализ инцидентов и форензик.
