
Krytyczny alert cyberbezpieczeństwa: Eksploatacja ataków na lokalne serwery SharePoint
W miniony weekend kilka agencji zajmujących się cyberbezpieczeństwem ujawniło serię trwających cyberataków, których celem są lokalne środowiska SharePoint Server, wykorzystujące nienaprawione dotąd luki w zabezpieczeniach. Warto odnotować, że luka CVE-2025-53770, powszechnie znana jako ToolShell, umożliwia nieautoryzowany dostęp do serwerów SharePoint.
Odpowiedź firmy Microsoft na aktywne zagrożenia
Firma Microsoft jest świadoma tych aktywnych luk w zabezpieczeniach i potwierdziła, że w lipcowej aktualizacji zabezpieczeń wdrożono częściowe środki zaradcze. Co ważne, luki te dotyczą wyłącznie lokalnych instalacji programu SharePoint Server, a klienci korzystający z usługi SharePoint Online za pośrednictwem usługi Microsoft 365 pozostają nienaruszeni.
Dostęp do aktualizacji zabezpieczeń
Organizacje mogą uzyskać lipcową aktualizację zabezpieczeń dla swoich systemów, korzystając z następujących łączy:
- Wersja subskrypcyjna programu Microsoft SharePoint Server – KB5002768
- Microsoft SharePoint Server 2019 – KB5002754
Zalecane strategie łagodzenia
Podczas gdy trwają prace nad kompleksową poprawką, użytkowników zachęca się do podjęcia następujących środków zapobiegawczych:
- Wykorzystaj obsługiwane wersje lokalnego serwera SharePoint.
- Zainstaluj wszystkie dostępne aktualizacje zabezpieczeń, koncentrując się na aktualizacji zabezpieczeń z lipca 2025 r.
- Aktywuj i prawidłowo skonfiguruj interfejs skanowania antywirusowego (AMSI), upewniając się, że jest zainstalowane kompatybilne rozwiązanie antywirusowe, np.program antywirusowy Microsoft Defender.
- Wdróż rozwiązanie Microsoft Defender for Endpoint Protection lub porównywalne rozwiązanie do wykrywania zagrożeń punktów końcowych.
- Regularnie zmieniaj klucze maszynowe ASP. NET dla programu SharePoint Server.
Wykrywanie i identyfikacja zagrożeń
Program antywirusowy Microsoft Defender potrafi zidentyfikować, czy serwer został dotknięty tą luką w zabezpieczeniach. Dotknięte systemy mogą zostać oznaczone następującymi nazwami detekcji:
- Exploit:Script/SuspSignoutReq. A
- Trojan:Win32/HijackSharePointServer. A
Wyniki badań i pilne wezwanie do działania
„W ramach naszej analizy przeskanowaliśmy ponad 8000 serwerów SharePoint na całym świecie i odkryliśmy kilka przypadków aktywnych naruszeń bezpieczeństwa, zwłaszcza około 18 lipca o godzinie 18:00 UTC i 19 lipca o godzinie 07:30 UTC” — stwierdziła firma badawcza zajmująca się cyberbezpieczeństwem, Eye.
Biorąc pod uwagę krytyczny charakter tej luki w zabezpieczeniach, wszyscy administratorzy lokalnych wersji programu SharePoint muszą bezwzględnie wdrożyć najnowsze aktualizacje zabezpieczeń i ściśle przestrzegać zalecanych strategii ograniczania ryzyka.
Dodaj komentarz