1. 0-day-уязвимость в Microsoft SharePoint: Атака без права на ошибку
Обзор происшествия
В июле 2025 года обнаружена критическая 0-day уязвимость в Microsoft SharePoint (CVE-2025-53770), которую активно эксплуатируют злоумышленники по всему миру. Этот баг позволяет устанавливать бэкдоры и похищать конфигурационные ключи серверов, получая неограниченный контроль над корпоративной инфраструктурой до прохождения аутентификации.
Детали атаки и механизм эксплуатации
В отличие от традиционных webshell-атак, хакеры внедряют специально подготовленную страницу (например, spinstall0.aspx), которая с помощью внутренних .NET-методов извлекает криптографические ключи SharePoint-сервера. Это позволяет перехватывать любые запросы с автоматическим повышением привилегий и превращением их в удалённое выполнение кода.
Для подтверждения компрометации безопасности эксперты советуют мониторить необычные GET-запросы к подобным скриптам и POST-операции. При невозможности немедленной установки обновлений Microsoft настоятельно рекомендует:
-
Включить интеграцию Antimalware Scan Interface (AMSI) в SharePoint и развернуть Microsoft Defender AV на всех инстансах.
-
При невозможности — полностью изолировать сервер от Интернета до выхода официального патча.
Значение проблемы для корпоративного сектора
-
Масштаб атак затронул организации в Европе, США и Азии.
-
Компании, использующие устаревшие версии SharePoint или не реализовавшие AMSI-защиту, особенно уязвимы.
-
Зафиксированы случаи утечки внутренних ключей безопасности и длительного нахождения атакующих в сети без обнаружения.
Рекомендации
-
Проверьте доступность AMSI и актуальность защиты ваших SharePoint-серверов.
-
Выполните аудит конфигураций и журналов событий за последние 2–4 недели.
-
Используйте инструменты Threat Hunting для поисков признаков уже произошедшей компрометации.