‘Мы являемся свидетелями срочной и активной угрозы’ — уязвимость ‘Microsoft SharePoint ToolShell’ подвергается глобальной атаке.

В связи с всплеском глобальных кибератак Microsoft экстренно выпустило обновления для устранения обнаруженных слабостей. Основное внимание в этих атаках уделяется двум неисправленным уязвимостям, которые использовались в кибернападениях на федеральные и государственные агентства США, образовательные учреждения и энергетические компании. Азиатская телекоммуникационная компания также стала объектом такого рода атаки.

Пока крипто-инвесторы ловят иксы и ликвидации, мы тут скучно изучаем отчетность и ждем дивиденды. Если тебе близка эта скука, добро пожаловать.

Купить акции "голубых фишек"

Согласно отчету газеты The Washington Post, первоначальные атаки, отслеженные до 18 июля 2025 года и раскрытые Eye Security, на самом деле начали проявлять признаки манипуляции уже с 7 июля 2025 года. Такое заключение было сделано кибер-секурностью фирмы Check Point.

Майкрософт выпустил экстренные исправления для выявленных уязвимостей, но эти патчи применимы только к определенным версиям SharePoint.

Атаки типа zero day происходят когда неизвестные слабые места или дефекты в системе используются злоумышленниками что потенциально подвергает опасности десятки тысяч серверов.

Хотя эта текущая проблема имеет некоторое сходство с уязвимостями в системе безопасности прошлых версий Microsoft, у нее есть свой уникальный поворот. Она конкретно нацелена на локальные серверы, оставляя те, что находятся в облаке, неприкосновенными.

В сообщении блога по управлению уязвимостями в Microsoft Defender подробно объясняются проблемы, обозначенные как CVE-2025-53770 и CVE-2025-53771.

Эта же статья затрагивала проблемы, обозначенные как CVE-2025-49704 и CVE-2025-49706, которые были рассмотрены в обновлениях Microsoft от 8 июля 2025 года. Однако важно отметить, что эти уязвимости могут быть использованы злоумышленниками, если они применяют недавно обнаруженные эксплойты.

Для вашего удобства обновления безопасности доступны исключительно для Microsoft SharePoint Server 2019 и Microsoft SharePoint Subscription Edition, в то время как на момент публикации данной информации патч не был выпущен для Microsoft SharePoint Enterprise Server 2016.

Что такое ToolShell?

Прозвище «ToolShell» относится к ряду атак, которые используют уязвимости CVE-2025-53770 и CVE-2025-53771. Как сообщает Check Point, эти уязвимости активно используются в кибератаках.

Лотем Финкельштейн, руководитель отдела разведки по угрозам в Check Point Research, подробно описал текущую ситуацию.

Существует непосредственная и продолжающаяся опасность: серьезная уязвимость нулевого дня в локально размещенных SharePoint эксплуатируется по всему миру, потенциально затрагивая тысячи организаций. Наша команда обнаружила многочисленные попытки скомпрометировать системы в правительственных, телекоммуникационных и технологических секторах с 7 июля. Мы настоятельно рекомендуем предприятиям немедленно обновить свои меры безопасности – эта атака крайне продвинутая и быстро развивается.

Прокси-точка рекомендует организациям принять следующие меры по снижению рисков:

Убедитесь, что интерфейс сканирования на предмет вредоносных программ включен.
Ротация ключей машины ASP.NET на сервере SharePoint.
Разверните Harmony Endpoint, чтобы блокировать пост-эксплуатационную активность на сервере.
При необходимости ограничьте доступ к серверу SharePoint из Интернета с помощью инструментов частного доступа.
Обновите пакет IPS для Quantum Gateway до версии 635254838 и убедитесь, что защита установлена на предотвращение и проверку трафика ваших серверов SharePoint.

Майкрософт рекомендует принять ряд мер предосторожности, включая быструю установку патчей при их доступности, усиление Антималваре Скан Интерфейс (AMSI), двукратное изменение ключа машины, временное ограничение публичного доступа, поиск потенциальных признаков и разделение любых подозрительных устройств.

Смотрите также

2025-07-21 22:09