Масштабная атака на Microsoft SharePoint: взлом тысяч серверов в инфраструктуре компаний и госорганов

Крупная волна кибератак захватила организации по всему миру из-за критической уязвимости в Microsoft SharePoint Server. Уязвимость CVE-2025-53770 позволяет удалённое выполнение кода и используется в активной фазе целевых атак на госучреждения, университеты, телеком и энергетические компании, а также частные предприятия в разных странах.

Microsoft SharePoint

Что произошло?

• Уязвимость CVE-2025-53770 связана с десериализацией недоверенных данных в локально установленных (on-premises) версиях SharePoint Server, что позволяет злоумышленникам удалённо запускать произвольный код.

• Атака классифицируется как zero-day — её начали использовать до выхода патча.

• Подтверждённые цели: органы власти США, телеком-компании в Азии, энергетика, университеты и предприятия. Общее число скомпрометированных серверов может достигать десятков тысяч.

Некоторые подробности эксплойта

Атака строится на цепочке уязвимостей, включающей:

• Обход аутентификации (связан с CVE-2025-49706),

• Инъекцию кода (вариант CVE-2025-49704).

Этот эксплойт, получивший название ToolShell, был впервые представлен исследователями из Viettel Cyber Security на соревновании Pwn2Own в мае 2025 года.

Этапы эксплуатации:

1. Обход аутентификации через заголовок Referer

Первый шаг атаки использует уязвимость в обработке HTTP-заголовков. Злоумышленник отправляет POST-запрос к:

/_layouts/15/ToolPane.aspx

…с поддельным заголовком:

Referer: /_layouts/SignOut.aspx

Этот Referer заставляет SharePoint принять запрос как аутентифицированный. Это позволяет перейти к следующему этапу без необходимости в логине, MFA или SSO.

2. Десериализация недоверенных данных

Следующий этап атаки — передача вредоносно сериализованных .NET-объектов в теле запроса. Сервис ToolPane на сервере десериализует полученные данные без достаточной валидации и авторизации, что открывает возможность для инъекции произвольного кода.

3. Загрузка скрытого web shell (spinstall0.aspx)

Эксплойт позволяет загрузить .ASPX-файл spinstall0.aspx , который:

• Не имеет интерактивного интерфейса.

• Не вызывает очевидных тревожных вызовов к PowerShell.

• Извлекает из конфигурации сервера критически важные ключи:

  • ValidationKey

  • DecryptionKey

Эти MachineKey-параметры лежат в основе криптографических операций SharePoint, включая подпись __VIEWSTATE.

4. Подделка __VIEWSTATE с валидной подписью

Используя украденные ключи, атакующий может создавать поддельные, но валидные __VIEWSTATE-объекты, которые:

• Проходят валидацию как легитимные.

• Могут включать вредоносный код.

• Позволяют выполнять RCE, даже после перезагрузки сервера.

Это обеспечивает постоянный доступ к системе.

5. Простота атаки

Вся цепочка атаки укладывается в один HTTP-запрос, что делает возможным:

• Массовое сканирование.

• Использование ботнетов.

• Обход большинства SIEM-систем.

6. Обход SSO и MFA

Поскольку аутентификация изначально обходится, все последующие уровни защиты, включая:

• Multi-Factor Authentication

• Single Sign-On

• Azure AD Conditional Access

…становятся неэффективными. Атакующий получает доступ без логина, токенов и без учётной записи.

Обнаружение атаки крайне затруднено, поскольку вредоносный трафик маскируется под легитимные операции SharePoint и не включает активные C2-механизмы.

• Уязвимость не затрагивает облачный SharePoint Online (Microsoft 365).

• При взломе SharePoint возможно заражение всей корпоративной сети, включая Outlook, Teams и OneDrive.

Индикаторы компрометации (IoC)

• Наличие файла spinstall0.aspx в каталогах шаблонов SharePoint.

• Запуски PowerShell из-под w3wp.exe с Base64-кодированными аргументами.

• Запросы POST на /ToolPane.aspx с Referer: /_layouts/SignOut.aspx.

• Неожиданное поведение системы без следов логина пользователя.

Ответ Microsoft и рекомендации

• Патчи уже выпущены для:

  • SharePoint Subscription Edition

  • SharePoint Server 2019

• Для SharePoint 2016 патч пока отсутствует — рекомендовано срочно применять меры по снижению риска.

• Microsoft рекомендует:

  • Установить последние обновления безопасности.

  • Включить и настроить Antimalware Scan Interface (AMSI).

  • Использовать Defender for Endpoint или аналогичный EDR.

  • Провести ротацию ключей и отключить уязвимые серверы от интернета, если невозможно немедленно установить патч.

Реакция регуляторов и экспертов

• В расследовании участвуют FBI, CISA, а также спецслужбы Канады и Австралии.

• Исследователи настоятельно рекомендуют предположить факт взлома для любого незащищённого сервера и начать инцидент-менеджмент: анализ логов, поиск скрытых угроз, смену ключей.

Эксперты предупреждают: атака всё ещё продолжается, и владельцам локальных SharePoint-серверов необходимо немедленно принять меры, включая установку патчей, изоляцию инфраструктуры и глубокий анализ на предмет вторжений.

Источники: Microsoft Security Response • CNN • Washington Post • The Hacker News • Forbes • CISA

Источник: habr.com