Új Microsoft SharePoint exploit foltozott a sürgősségi biztonsági frissítésben

A Microsoft kiadott egy sürgősségi biztonsági javítást, amely világszerte megfékezi a szolgáltatásokat érintő "ToolShell" támadásokat. A Microsoft SharePoint Subscription Edition és a SharePoint 2019 javítócsomagok két kritikus biztonsági hibát javítanak, amelyeket a következőképpen azonosítottak: "CVE-2025-53770" és "CVE-2025-53771".

A SharePoint 2016-hoz jelenleg nem állnak rendelkezésre javítófoltok, de a Microsoft jelezte, hogy dolgozik rajta. A vállalat azt ajánlotta, hogy az adminok telepítsék a "KB5002754 KB5002754 frissítést" a SharePoint 2019-hez és a "KB5002768 frissítést" a SharePoint Subscription Editionhöz

Ezek a sebezhetőségek lehetővé teszik tetszőleges kód távoli futtatását a szervereken, anélkül, hogy hitelesítésre lenne szükség. A "CVE-2025-53770" exploit 9,8-as CVSS v3 pontszámmal rendelkezik, és a vadonban aktívan kihasználják.

A támadók célpontjai internetképes SharePoint-kiszolgálók, és legalább két ilyen támadás kapcsolatban áll a "Silk Typhoon" és a "Storm-0506" zsarolóprogram-csoportokkal, amelyekről ismert, hogy vállalati szervereket vesznek célba.

A hiba lehetővé teszi a támadók számára a kulcsok ellopását és a felhasználók megszemélyesítését, még akkor is, ha a szervert újraindítják vagy javítják. Egyelőre úgy tűnik, hogy a SharePoint felhőverziói nem sérülékenyek a támadásokkal szemben.

Az Eye Security biztonsági kutatói fedezték fel először a hibákat július 18-án fedezték fel. Az amerikai Cybersecurity and Infrastructure Security Agency (CISA) kiadott egy tanácsadást az Antimalware Scan Interface (AMSI) és a Microsoft Defender AV engedélyezésére az összes SharePoint-kiszolgálón.

Ha az AMSI nem engedélyezhető, azt tanácsolják, hogy a további megoldásig azonnal kapcsolják le az érintett szervereket a hálózatról.