Łatajcie szybko swoje Sharepointy – aktywnie wykorzystywana krytyczna podatność

Zanim przejdziecie do dalszej lektury tego krótkiego newsa, zalecamy abyście zainstalowali KB5002754 (Microsoft SharePoint Server 2019), lub KB5002768 (Microsoft SharePoint Subscription Edition). Dla wersji Server 2016 nie ma jeszcze aktualizacji. Producent zaleca rotację kluczy (po łatce). Kompleksowy skrót informacji został opublikowany na stronie CISA.

To teraz na spokojnie, co się właśnie wydarzyło? W maju tego roku badacze, podczas konkursu Pwn2Own Berlin odkryli krytyczną lukę wykorzystującą niebezpieczną deserializację. Podatność pozwala na wykonanie kodu na Microsoft SharePoint Server. Chociaż same wykorzystanie tej luki wymaga uwierzytelnienia, to może ono zostać pominięte (ang. bypass). A to znaczy, że efektywnie jest to zdalne wykonanie kodu bez uwierzytelnienia. Microsoft załatał zgłoszone podatności, a łatki zostały wydane w lipcowym Patch Tuesday.

Niestety jak informuje producent, cyberprzestępcy odnaleźli metodę obejścia zaproponowanych poprawek i efektywnie wykorzystują podatności CVE-2025-53770 (CVSS 3.1 9.8 – jest to bypass na CVE-2025-49704) oraz CVE-2025-53771 (CVSS 3.1 6.3, jest to bypass na CVE-2025-49706). 

Podatności dotykają instancji on-prem, SharePoint 365 nie jest zagrożony. Firma informuje, że patch na wersję 2016 będzie dostępny niebawem. 

Microsoft zaleca, aby dla serwerów, które nie mogą być spatchowane natychmiast wdrożyć wszystkie (dostępne) łatki bezpieczeństwa, uruchomić Defendera oraz integrację z Anti Malware Scan Interface (AMSI). Niestety jak dobrze wiadomo, rozwiązania klasy AV/EDR nie są w 100% skuteczne, więc mamy nadzieję, że wymagane patche pojawią się niebawem. 

O atakach poinformowała firma Eye Security, która zaobserwowała prowadzone kampanie z wykorzystaniem podatności ToolShell. Przedstawili też listę IOC, do których odsyłamy. Badacze opublikowali też listę serwerów, które mogły zostać przejęte.  

~Black Hat Logan