CVE-2025-53770 to poważna podatność w on-premisowych serwerach SharePoint, umożliwiająca instalację backdoora oraz przejęcie kluczy bezpieczeństwa systemu, co może skutkować zdobyciem pełnej kontroli nad zainfekowaną maszyną.
Brak łatki
Microsoft nie udostępnił jeszcze oficjalnej łatki dla wszystkich wersji dotkniętych problemem. Firma zaleca jednak włączenie integracji z Antimalware Scan Interface (AMSI) oraz instalację Microsoft Defender Antivirus na wszystkich serwerach SharePoint.
„Integracja AMSI została domyślnie włączona w aktualizacji zabezpieczeń z września 2023 r. dla SharePoint Server 2016/2019 oraz w aktualizacji funkcji 23H2 dla SharePoint Server Subscription Edition” – informuje Microsoft.
Jeśli włączenie AMSI nie jest możliwe, Microsoft zaleca odłączenie serwera SharePoint od Internetu oraz wdrożenie rozwiązania Defender for Endpoint do wykrywania i blokowania aktywności po wykorzystaniu luki.
Szczegóły techniczne CVE-2025-53770
Podatność wynika z nieprawidłowego deserializowania niezaufanych danych w SharePoint i umożliwia nieautoryzowane zdalne wykonanie kodu bez interakcji użytkownika. Dotyczy lokalnych instalacji:
- Microsoft SharePoint Server 2019,
- Microsoft SharePoint Enterprise Server 2016,
- Microsoft SharePoint Server Subscription Edition.
SharePoint Online w ramach Microsoft 365 nie jest podatny.
CVE-2025-53770 to wariant wcześniejszej luki CVE-2025-49706, którą połączono z CVE-2025-49704 do stworzenia ataku „ToolShell” zaprezentowanego przez Viettel Cyber Security podczas Pwn2Own Berlin w maju 2025 r.
Publikacja zrzutów ekranu i szczegółów technicznych exploita przez analityków (m.in. z CODE WHITE GmbH) wystarczyła, by cyberprzestępcy stworzyli własny łańcuch ataku i zaczęli aktywnie poszukiwać podatnych serwerów SharePoint wystawionych do Internetu.
Wykorzystywanie luki w praktyce
Holenderska firma Eye Security poinformowała, iż podatność jest wykorzystywana co najmniej od 18 lipca. W trakcie analizy incydentu eksperci odkryli nietypowy plik – spinstall0[.]aspx – którego celem było wykradanie kluczy kryptograficznych serwera SharePoint.
Nie był to standardowy webshell – strona wywoływała wewnętrzne metody .NET, by odczytać konfigurację MachineKey, zawierającą m.in. ValidationKey i DecryptionKey. Dane te umożliwiają generowanie ważnych tokenów __VIEWSTATE i zdalne wykonanie kodu w ramach uwierzytelnionych żądań.
Eye Security zidentyfikowało dziesiątki zainfekowanych serwerów, a informacje przekazano do narodowych zespołów CERT oraz organizacji w całej Europie.
Rekomendacje bezpieczeństwa
Organizacje, które dopiero po pierwszej fali ataków odłączyły serwery SharePoint od Internetu lub wdrożyły AMSI i Defendera, powinny sprawdzić logi pod kątem wskaźników kompromitacji (IoC).
- Eye Security publikuje aktualizowaną listę IoC i zaleca kierowanie się wytycznymi Microsoftu.
- Palo Alto Networks również udostępniło własne IoC.
W przypadku wykrycia kompromitacji należy:
- odizolować lub wyłączyć zainfekowane serwery,
- wymienić wszystkie hasła, certyfikaty i klucze systemowe – samo załatanie luki nie wystarczy, ponieważ zdobyte klucze pozwalają atakującym na dalsze podszywanie się pod użytkowników lub usługi,
- w razie potrzeby skorzystać z usług zewnętrznych specjalistów ds. reagowania na incydenty, ponieważ backdoory mogą przetrwać choćby restart i aktualizacje.
„SharePoint często komunikuje się z usługami takimi jak Outlook, Teams czy OneDrive – dlatego naruszenie może prowadzić do kradzieży danych, haseł i dalszej eskalacji ataku w sieci” – ostrzega Eye Security.
Reakcje instytucji i aktualizacja Microsoftu
Amerykańska agencja CISA dodała CVE-2025-53770 do katalogu znanych luk aktywnie wykorzystywanych (KEV) i zobowiązała wszystkie federalne agencje cywilne do podjęcia działań ochronnych w terminie do 21 lipca.
Microsoft wydał aktualizacje dla SharePoint Server Subscription Edition oraz SharePoint Server 2019. Zawierają one poprawki dla CVE-2025-53770 oraz pokrewnej luki, CVE-2025-53771. Microsoft wyjaśnia, iż nowe łatki zapewniają lepszą ochronę niż poprzednie aktualizacje – CVE-2025-49704 i CVE-2025-49706.
Obecnie CVE-2025-53771 nie jest aktywnie wykorzystywana.
Washington Post informuje, iż luka CVE-2025-53770 została wykorzystana do ataków m.in. na agencje federalne i stanowe w USA, firmy z sektora energetycznego, uniwersytety oraz operatora telekomunikacyjnego w Azji.
Według źródeł napastnicy uzyskali pełny dostęp do zawartości SharePoint, plików i konfiguracji, a także możliwość wykonywania kodu w sieci ofiary.
Podsumowanie
CVE-2025-53770 stanowi poważne zagrożenie dla organizacji korzystających z lokalnych serwerów SharePoint. Ataki są wysoce zaawansowane i ukierunkowane, a ochrona wymaga nie tylko załatania systemu, ale także rotacji kluczy i ścisłego monitorowania środowiska. jeżeli Twoja organizacja używa SharePoint on-premises – natychmiast sprawdź zabezpieczenia, wdróż zalecane środki ochrony i monitoruj infrastrukturę pod kątem oznak ataku.
