Cyberprzestępcy atakują nienaprawioną lukę w zabezpieczeniach programu Microsoft SharePoint CVE-2025-53770

Cyberprzestępcy atakują nienaprawioną lukę w zabezpieczeniach programu Microsoft SharePoint CVE-2025-53770

Krytyczny alert cyberbezpieczeństwa: Eksploatacja ataków na lokalne serwery SharePoint

W miniony weekend kilka agencji zajmujących się cyberbezpieczeństwem ujawniło serię trwających cyberataków, których celem są lokalne środowiska SharePoint Server, wykorzystujące nienaprawione dotąd luki w zabezpieczeniach. Warto odnotować, że luka CVE-2025-53770, powszechnie znana jako ToolShell, umożliwia nieautoryzowany dostęp do serwerów SharePoint.

Odpowiedź firmy Microsoft na aktywne zagrożenia

Firma Microsoft jest świadoma tych aktywnych luk w zabezpieczeniach i potwierdziła, że w lipcowej aktualizacji zabezpieczeń wdrożono częściowe środki zaradcze. Co ważne, luki te dotyczą wyłącznie lokalnych instalacji programu SharePoint Server, a klienci korzystający z usługi SharePoint Online za pośrednictwem usługi Microsoft 365 pozostają nienaruszeni.

Dostęp do aktualizacji zabezpieczeń

Organizacje mogą uzyskać lipcową aktualizację zabezpieczeń dla swoich systemów, korzystając z następujących łączy:

Zalecane strategie łagodzenia

Podczas gdy trwają prace nad kompleksową poprawką, użytkowników zachęca się do podjęcia następujących środków zapobiegawczych:

  • Wykorzystaj obsługiwane wersje lokalnego serwera SharePoint.
  • Zainstaluj wszystkie dostępne aktualizacje zabezpieczeń, koncentrując się na aktualizacji zabezpieczeń z lipca 2025 r.
  • Aktywuj i prawidłowo skonfiguruj interfejs skanowania antywirusowego (AMSI), upewniając się, że jest zainstalowane kompatybilne rozwiązanie antywirusowe, np.program antywirusowy Microsoft Defender.
  • Wdróż rozwiązanie Microsoft Defender for Endpoint Protection lub porównywalne rozwiązanie do wykrywania zagrożeń punktów końcowych.
  • Regularnie zmieniaj klucze maszynowe ASP. NET dla programu SharePoint Server.

Wykrywanie i identyfikacja zagrożeń

Program antywirusowy Microsoft Defender potrafi zidentyfikować, czy serwer został dotknięty tą luką w zabezpieczeniach. Dotknięte systemy mogą zostać oznaczone następującymi nazwami detekcji:

  • Exploit:Script/SuspSignoutReq. A
  • Trojan:Win32/HijackSharePointServer. A

Wyniki badań i pilne wezwanie do działania

„W ramach naszej analizy przeskanowaliśmy ponad 8000 serwerów SharePoint na całym świecie i odkryliśmy kilka przypadków aktywnych naruszeń bezpieczeństwa, zwłaszcza około 18 lipca o godzinie 18:00 UTC i 19 lipca o godzinie 07:30 UTC” — stwierdziła firma badawcza zajmująca się cyberbezpieczeństwem, Eye.

Biorąc pod uwagę krytyczny charakter tej luki w zabezpieczeniach, wszyscy administratorzy lokalnych wersji programu SharePoint muszą bezwzględnie wdrożyć najnowsze aktualizacje zabezpieczeń i ściśle przestrzegać zalecanych strategii ograniczania ryzyka.

Źródło i obrazy

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *