Cyberprzestępcy atakują nienaprawioną lukę w zabezpieczeniach programu Microsoft SharePoint CVE-2025-53770

Krytyczny alert cyberbezpieczeństwa: Eksploatacja ataków na lokalne serwery SharePoint

W miniony weekend kilka agencji zajmujących się cyberbezpieczeństwem ujawniło serię trwających cyberataków, których celem są lokalne środowiska SharePoint Server, wykorzystujące nienaprawione dotąd luki w zabezpieczeniach. Warto odnotować, że luka CVE-2025-53770, powszechnie znana jako ToolShell, umożliwia nieautoryzowany dostęp do serwerów SharePoint.

Odpowiedź firmy Microsoft na aktywne zagrożenia

Firma Microsoft jest świadoma tych aktywnych luk w zabezpieczeniach i potwierdziła, że w lipcowej aktualizacji zabezpieczeń wdrożono częściowe środki zaradcze. Co ważne, luki te dotyczą wyłącznie lokalnych instalacji programu SharePoint Server, a klienci korzystający z usługi SharePoint Online za pośrednictwem usługi Microsoft 365 pozostają nienaruszeni.

Dostęp do aktualizacji zabezpieczeń

Organizacje mogą uzyskać lipcową aktualizację zabezpieczeń dla swoich systemów, korzystając z następujących łączy:

• Wersja subskrypcyjna programu Microsoft SharePoint Server – KB5002768
• Microsoft SharePoint Server 2019 – KB5002754

Zalecane strategie łagodzenia

Podczas gdy trwają prace nad kompleksową poprawką, użytkowników zachęca się do podjęcia następujących środków zapobiegawczych:

• Wykorzystaj obsługiwane wersje lokalnego serwera SharePoint.
• Zainstaluj wszystkie dostępne aktualizacje zabezpieczeń, koncentrując się na aktualizacji zabezpieczeń z lipca 2025 r.
• Aktywuj i prawidłowo skonfiguruj interfejs skanowania antywirusowego (AMSI), upewniając się, że jest zainstalowane kompatybilne rozwiązanie antywirusowe, np.program antywirusowy Microsoft Defender.
• Wdróż rozwiązanie Microsoft Defender for Endpoint Protection lub porównywalne rozwiązanie do wykrywania zagrożeń punktów końcowych.
• Regularnie zmieniaj klucze maszynowe ASP. NET dla programu SharePoint Server.

Wykrywanie i identyfikacja zagrożeń

Program antywirusowy Microsoft Defender potrafi zidentyfikować, czy serwer został dotknięty tą luką w zabezpieczeniach. Dotknięte systemy mogą zostać oznaczone następującymi nazwami detekcji:

• Exploit:Script/SuspSignoutReq. A
• Trojan:Win32/HijackSharePointServer. A

Wyniki badań i pilne wezwanie do działania

„W ramach naszej analizy przeskanowaliśmy ponad 8000 serwerów SharePoint na całym świecie i odkryliśmy kilka przypadków aktywnych naruszeń bezpieczeństwa, zwłaszcza około 18 lipca o godzinie 18:00 UTC i 19 lipca o godzinie 07:30 UTC” — stwierdziła firma badawcza zajmująca się cyberbezpieczeństwem, Eye.

Biorąc pod uwagę krytyczny charakter tej luki w zabezpieczeniach, wszyscy administratorzy lokalnych wersji programu SharePoint muszą bezwzględnie wdrożyć najnowsze aktualizacje zabezpieczeń i ściśle przestrzegać zalecanych strategii ograniczania ryzyka.

Źródło i obrazy

Powiązane artykuły:

Udział Chrome’a ​​w rynku przeglądarek przekracza 70%

6:111 września, 2025

Raport Statcounter: Prawie 50% komputerów z systemem Windows korzysta teraz z systemu Windows 11

6:091 września, 2025

Co nowego w systemie Windows 11: aktualizacje z sierpnia 2025 r.

22:0131 sierpnia, 2025

Aplikacja Microsoft Copilot dla sieci Web i systemu Windows 11 wprowadza bezpłatną funkcję analizy wielu plików ChatGPT

15:1631 sierpnia, 2025