Все началось 18 июля, когда эксперты компании Eye Security сообщили о массовой эксплуатации RCE-уязвимости в Microsoft SharePoint Server — CVE-2025-53770 (9,8 балла по шкале CVSS) — совместно с уязвимостью CVE-2025-53771, связанной со спуфингом.
SharePoint — это веб-приложение от Microsoft, предназначенное для развертывания корпоративных интранет-порталов, управления документами и совместной работы. Ошибка в механизме десериализации позволяет злоумышленнику удаленно выполнить произвольный код до прохождения аутентификации. Успешно проэксплуатировав уязвимость, тот может закрепиться на сервере SharePoint, получить конфиденциальные данные и использовать доступ к серверу для дальнейшего развития атаки на инфраструктуру компании.
Microsoft подтверждает, что атаки с эксплуатацией новой уязвимости уже ведутся и затрагивают локальные версии SharePoint Server, но не облачные. Им уже подверглись более 85 серверов SharePoint в разных странах. В список пострадавших входят 29 организаций, включая международные корпорации и государственные структуры.
🇷🇺 В безопасности ли российский сегмент?
Нет, в зоне риска находится каждая десятая российская энтерпрайз-компания. Более того, иногда серверы SharePoint делают доступными из интернета (это противоречит общепринятым рекомендациям). Система контроля и информирования о поверхности атак «СКИПА» компании «СайберОК» отслеживает около 1800 экземпляров SharePoin в Рунете, из которых более 20% могут быть уязвимы для атак с использованием CVE‑2025‑53770.
🛡 Как защитить себя и бизнес?
Во-первых, этим уже занимается Microsoft. Полноценного патча пока нет, но уже 19 июля компания выпустила обновления для SharePoint Server 2016, 2019 и SharePoint Subscription Edition. Также вендор рекомендует настроить интеграцию с Antimalware Scan Interface.
Во-вторых, наши эксперты подготовили собственные рекомендации (и даже виртуальный патч) вам в помощь. Итак, что нужно сделать, чтобы вас не взломали:
Обновить Microsoft SharePoint до актуальной версии.
Применить рекомендации от Microsoft.
Изолировать сервер и не публиковать корпоративный портал в глобальной сети.
Включить Microsoft Defender и интеграцию с AMSI, чтобы предотвратить попадание вредоносных веб-запросов к конечным точкам SharePoint.
Отслеживать характерные запросы в журналах.
Подключить возможности продуктов Positive Technologies.
Например, в MaxPatrol VM эта трендовая уязвимость появилась в течение 12 часов и сейчас может быть обнаружена системой в инфраструктуре организации. А снизить риски эксплуатации уязвимости на конечных устройствах поможет MaxPatrol EDR.
PT NAD детектирует попытки эксплуатации данной уязвимости, а PT NGFW может блокировать ее. MaxPatrol SIEM и ML-модуль MaxPatrol BAD также обнаруживают пост-эксплуатацию аномальной активности в инфраструктуре и недостаток безопасности в SharePoint тут не исключение.
Кроме того, команда PT Application Firewall уже подготовила виртуальный патч для уязвимости CVE-2025-53770. Чтобы получить его, вы можете обратиться в техническую поддержку.
