SG.hu·
Nagyon súlyos sebezhetőséget találtak a Microsoft SharePoint Serverben
Lehetővé teszi a hackerek számára, hogy ellopják a jogosultságokat biztosító hitelesítő adatokat.
A hatóságok és a kutatók riadót fújtak a Microsoft SharePoint Serverben található magas súlyosságú sebezhetőség aktív, tömeges kihasználása miatt. A hiba lehetővé teszi a támadók számára, hogy bizalmas vállalati adatokkal, többek között a hálózatokon belüli rendszerekhez való hozzáféréshez használt hitelesítési tokeneket lopjanak. A kutatók szerint mindenkinek, aki a SharePoint helyben futó példányát használja, fel kell tételeznie, hogy a hálózata sérült.
A CVE-2025-53770 néven nyomon követett sebezhetőség súlyossági besorolása 9,8 a lehetséges 10-ből. Hitelesítés nélküli távoli hozzáférést biztosít az internetre kitett SharePoint-kiszolgálókhoz. Péntektől kezdve a kutatók figyelmeztetni kezdtek a sebezhetőség aktív kihasználására, amely olyan SharePoint szervereket érint, amelyeket a vállalatok házon belül futtatnak. A Microsoft felhőben hosztolt SharePoint Online és a Microsoft 365 nem érintett.
A Microsoft vasárnap elérhetővé tette a SharePoint Subscription Editionben és a SharePoint 2019-ben a sebezhetőséget, valamint egy kapcsolódó, CVE-2025-53771 néven nyomon követett sebezhetőséget foltozó sürgősségi frissítést. A szoftver bármelyik verzióját használó ügyfeleknek azonnal alkalmazniuk kell a frissítéseket. A SharePoint 2016 továbbra is javítatlan maradt, a Microsoft szerint az ezt a verziót használó szervezeteknek telepíteniük kell az Antimalware Scan Interface-t.
A megfigyelt kihasználási lánc szorosan kapcsolódik a májusban a berlini Pwn2Own hackerversenyen két különálló sebezhetőséggel kapcsolatban bemutatott láncokhoz. A CVE-2025-49704 és CVE-2025-49706 néven nyomon követhető, kihasználható sebezhetőségeket a Microsoft két héttel ezelőtt a havi frissítés kiadásában részben befoltozta. A hétvégi javítások a CVE-2025-53770 és CVE-2025-53771 CVE-2025-49704 és CVE-2025-49706 „erőteljesebb védelmet” tartalmaznak - közölte a Microsoft. A frissítések telepítése csak a helyreállítási folyamat kezdete, mivel a fertőzések lehetővé teszik a támadók számára, hogy olyan hitelesítési hitelesítő adatokat szerezzenek, amelyek széleskörű hozzáférést biztosítanak számos érzékeny erőforráshoz egy veszélyeztetett hálózaton belül.
Szombaton az Eye Security biztonsági cég kutatói arról számoltak be, hogy „több tucat rendszer aktívan veszélyeztetett a támadás két hulláma során, július 18-án 18:00 UTC és július 19-én 07:30 UTC körül”. A világszerte szétszórt rendszereket a kihasznált sebezhetőséget kihasználva törték fel, majd egy ToolShell nevű, webshell alapú backdoorral fertőzték meg őket. Az Eye Security kutatói szerint a backdoor képes volt hozzáférni a SharePoint Server legérzékenyebb részeihez, és onnan tokeneket nyerni, amelyek segítségével olyan kódot tudtak futtatni, amellyel a támadók kiterjeszthették hatókörüket a hálózatokon belül.
"Ez nem egy tipikus webshell” - írják az Eye Security kutatói. "Nem voltak interaktív parancsok, vagy parancs- és vezérlési logika. Ehelyett az oldal belső .NET módszereket hívott meg a SharePoint-kiszolgáló MachineKey-konfigurációjának kiolvasására, beleértve a ValidationKey-t is. Ezek a kulcsok elengedhetetlenek az érvényes __VIEWSTATE hasznos terhelések generálásához, és a hozzájuk való hozzáférés megszerzése gyakorlatilag minden hitelesített SharePoint-kérést távoli kódfuttatási lehetőséggé változtat".
A távoli kódfuttatást az teszi lehetővé, hogy az exploit a SharePoint adatszerkezetek és objektumállapotok tárolható vagy továbbítható, majd később rekonstruálható formátumokba történő lefordításának módját célozza meg, amely folyamatot szerializálásnak neveznek. A Microsoft által 2021-ben kijavított SharePoint sebezhetőség lehetővé tette, hogy visszaélve a parsing logikával objektumokat lehessen bejuttatni az oldalakba. Ez azért következett be, mert a SharePoint az ASP.NET ViewState objektumokat a gép konfigurációjában tárolt ValidationKey aláíró kulcs segítségével futtatta. Ez lehetővé tehette a támadók számára, hogy a SharePointot tetszőleges objektumok deserializálására és beágyazott parancsok végrehajtására késztessék. Ezeket a kihasználásokat azonban korlátozta az érvényes aláírás létrehozásának követelménye, ami viszont hozzáférést igényelt a kiszolgáló titkos ValidationKey-hez.
A támadók a képességet arra használják, hogy ellopják a SharePoint ASP.NET gépkulcsokat, amelyek lehetővé teszik a támadók számára, hogy később további infrastruktúrákat is feltörhessenek. Ez azt jelenti, hogy a foltozás önmagában nem nyújt biztosítékot arra, hogy a támadókat kiűzték a veszélyeztetett rendszerből. Ehelyett az érintett szervezeteknek a SharePoint ASP.NET gépkulcsokat ki kell cserélniük, és újra kell indítaniuk a rajta futó IIS webkiszolgálót.
Az Eye Security posztja technikai mutatókat közöl, amelyek segítségével az adminok megállapíthatják, hogy rendszereiket célba vették-e a támadások. Emellett számos olyan intézkedést is közöl, amelyeket a sebezhető szervezetek megtehetnek, hogy megerősítsék rendszereiket a tevékenységgel szemben.
A hatóságok és a kutatók riadót fújtak a Microsoft SharePoint Serverben található magas súlyosságú sebezhetőség aktív, tömeges kihasználása miatt. A hiba lehetővé teszi a támadók számára, hogy bizalmas vállalati adatokkal, többek között a hálózatokon belüli rendszerekhez való hozzáféréshez használt hitelesítési tokeneket lopjanak. A kutatók szerint mindenkinek, aki a SharePoint helyben futó példányát használja, fel kell tételeznie, hogy a hálózata sérült.
A CVE-2025-53770 néven nyomon követett sebezhetőség súlyossági besorolása 9,8 a lehetséges 10-ből. Hitelesítés nélküli távoli hozzáférést biztosít az internetre kitett SharePoint-kiszolgálókhoz. Péntektől kezdve a kutatók figyelmeztetni kezdtek a sebezhetőség aktív kihasználására, amely olyan SharePoint szervereket érint, amelyeket a vállalatok házon belül futtatnak. A Microsoft felhőben hosztolt SharePoint Online és a Microsoft 365 nem érintett.
A Microsoft vasárnap elérhetővé tette a SharePoint Subscription Editionben és a SharePoint 2019-ben a sebezhetőséget, valamint egy kapcsolódó, CVE-2025-53771 néven nyomon követett sebezhetőséget foltozó sürgősségi frissítést. A szoftver bármelyik verzióját használó ügyfeleknek azonnal alkalmazniuk kell a frissítéseket. A SharePoint 2016 továbbra is javítatlan maradt, a Microsoft szerint az ezt a verziót használó szervezeteknek telepíteniük kell az Antimalware Scan Interface-t.
A megfigyelt kihasználási lánc szorosan kapcsolódik a májusban a berlini Pwn2Own hackerversenyen két különálló sebezhetőséggel kapcsolatban bemutatott láncokhoz. A CVE-2025-49704 és CVE-2025-49706 néven nyomon követhető, kihasználható sebezhetőségeket a Microsoft két héttel ezelőtt a havi frissítés kiadásában részben befoltozta. A hétvégi javítások a CVE-2025-53770 és CVE-2025-53771 CVE-2025-49704 és CVE-2025-49706 „erőteljesebb védelmet” tartalmaznak - közölte a Microsoft. A frissítések telepítése csak a helyreállítási folyamat kezdete, mivel a fertőzések lehetővé teszik a támadók számára, hogy olyan hitelesítési hitelesítő adatokat szerezzenek, amelyek széleskörű hozzáférést biztosítanak számos érzékeny erőforráshoz egy veszélyeztetett hálózaton belül.
Szombaton az Eye Security biztonsági cég kutatói arról számoltak be, hogy „több tucat rendszer aktívan veszélyeztetett a támadás két hulláma során, július 18-án 18:00 UTC és július 19-én 07:30 UTC körül”. A világszerte szétszórt rendszereket a kihasznált sebezhetőséget kihasználva törték fel, majd egy ToolShell nevű, webshell alapú backdoorral fertőzték meg őket. Az Eye Security kutatói szerint a backdoor képes volt hozzáférni a SharePoint Server legérzékenyebb részeihez, és onnan tokeneket nyerni, amelyek segítségével olyan kódot tudtak futtatni, amellyel a támadók kiterjeszthették hatókörüket a hálózatokon belül.
"Ez nem egy tipikus webshell” - írják az Eye Security kutatói. "Nem voltak interaktív parancsok, vagy parancs- és vezérlési logika. Ehelyett az oldal belső .NET módszereket hívott meg a SharePoint-kiszolgáló MachineKey-konfigurációjának kiolvasására, beleértve a ValidationKey-t is. Ezek a kulcsok elengedhetetlenek az érvényes __VIEWSTATE hasznos terhelések generálásához, és a hozzájuk való hozzáférés megszerzése gyakorlatilag minden hitelesített SharePoint-kérést távoli kódfuttatási lehetőséggé változtat".
A távoli kódfuttatást az teszi lehetővé, hogy az exploit a SharePoint adatszerkezetek és objektumállapotok tárolható vagy továbbítható, majd később rekonstruálható formátumokba történő lefordításának módját célozza meg, amely folyamatot szerializálásnak neveznek. A Microsoft által 2021-ben kijavított SharePoint sebezhetőség lehetővé tette, hogy visszaélve a parsing logikával objektumokat lehessen bejuttatni az oldalakba. Ez azért következett be, mert a SharePoint az ASP.NET ViewState objektumokat a gép konfigurációjában tárolt ValidationKey aláíró kulcs segítségével futtatta. Ez lehetővé tehette a támadók számára, hogy a SharePointot tetszőleges objektumok deserializálására és beágyazott parancsok végrehajtására késztessék. Ezeket a kihasználásokat azonban korlátozta az érvényes aláírás létrehozásának követelménye, ami viszont hozzáférést igényelt a kiszolgáló titkos ValidationKey-hez.
A támadók a képességet arra használják, hogy ellopják a SharePoint ASP.NET gépkulcsokat, amelyek lehetővé teszik a támadók számára, hogy később további infrastruktúrákat is feltörhessenek. Ez azt jelenti, hogy a foltozás önmagában nem nyújt biztosítékot arra, hogy a támadókat kiűzték a veszélyeztetett rendszerből. Ehelyett az érintett szervezeteknek a SharePoint ASP.NET gépkulcsokat ki kell cserélniük, és újra kell indítaniuk a rajta futó IIS webkiszolgálót.
Az Eye Security posztja technikai mutatókat közöl, amelyek segítségével az adminok megállapíthatják, hogy rendszereiket célba vették-e a támadások. Emellett számos olyan intézkedést is közöl, amelyeket a sebezhető szervezetek megtehetnek, hogy megerősítsék rendszereiket a tevékenységgel szemben.