Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   Microsoft выпускает экстренный патч: 0-day уязвимости в SharePoint использовались в RCE-атаках (http://txgate.io:443/showthread.php?t=51302080)

Artifact 07-27-2025 02:10 PM
<div id="post_message_804383">

Обнаружено, что критические уязвимости нулевого дня в Microsoft SharePoint (CVE-2025-53770 и CVE-2025-53771) активно эксплуатируются с конца прошлой недели, и по всему миру было компрометировано не менее 85 серверов.<br/>
<br/>
В мае 2025 года исследователи из Viettel Cyber Security объединили два дефекта Microsoft SharePoint, <a href="https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-49706" target="_blank">CVE-2025-49706</a> и <a href="https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-49704" target="_blank">CVE-2025-49704</a> в RCE-атаку ToolShell, которую, продемонстрировали на соревновании Pwn2Own Berlin.<br/>
<br/>
Хотя в июле разработчики Microsoft исправили обе уязвимости ToolShell, злоумышленники сумели обойти исправления с помощью новых эксплоитов. Новые уязвимости получили идентификаторы <a href="http://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-53770" target="_blank">CVE-2025-53770</a> (9,8 балла по шкале CVSS; обход патча для CVE-2025-49704) и <a href="http://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-53771" target="_blank">CVE-2025-53771</a> (6,3 балла по шкале CVSS; обход патча для CVE-2025-49706) и уже активно используются для атак на on-premises серверы SharePoint.<br/>
<br/>
<div style="margin:20px; margin-top:5px; ">
<!-- <div class="smallfont" style="margin-bottom:2px">Quote:</div> -->
<table border="0" cellpadding="6" cellspacing="0" width="100%">
<tr>
<td class="alt2" style="background: rgb(37, 37, 37) none repeat scroll 0% 0%; border: 1px solid rgb(0, 0, 0); border-radius: 5px; font-size: 11px; text-shadow: none;">
<font size="3">«Microsoft известно об активных атаках, нацеленных на on-premises пользователей SharePoint Server и эксплуатации уязвимостей, частично исправленных в рамках июльских обновлений безопасности, — сообщается в <a href="https://msrc.microsoft.com/blog/2025/07/customer-guidance-for-sharepoint-vulnerability-cve-2025-53770/" target="_blank">блоге Microsoft</a>. — Эти уязвимости затрагивают только on-premises серверы SharePoint. SharePoint Online в Microsoft 365 не затронут».</font>
</td>
</tr>
</table>
</div>В настоящее время Microsoft выпустила обновление <a href="https://www.microsoft.com/en-us/download/details.aspx?id=108285" target="_blank">KB5002768 </a>для Microsoft SharePoint Subscription Edition, устраняющее свежие уязвимости. Однако компания все еще работает над обновлениями для Microsoft SharePoint 2019 и 2016.<br/>
<br/>
Администраторам серверов SharePoint, где в настоящее время не установлены исправления или нет возможности их немедленного применения, Microsoft рекомендует установить последние патчи для SharePoint, включить интеграцию <a href="https://learn.microsoft.com/en-us/sharepoint/security-for-sharepoint-server/configure-amsi-integration" target="_blank">AMSI </a>в SharePoint и развернуть Defender на всех серверах. В компании утверждают, что включение этих защитных решений не позволит использовать уязвимости для неаутентифицированных атак.<br/>
<br/>
Кроме того, в компании рекомендуют заменить ключи SharePoint Server ASP.NET после применения обновлений или включения AMSI, так как это не позволит злоумышленникам выполнять команды, даже если взлом уже произошел.<br/>
<br/>
Проверить сервер SharePoint на предмет компрометации можно с помощью файла C:\PROGRA~1\COMMON~1\MICROS~1\WEBSER~1\16\TEMPLATE \LAYOUTS\spinstall0.aspx. Его наличие является признаком взлома.<br/>
<br/>
Атаки на 0-day проблемы в Microsoft SharePoint впервые были выявлены голландской компанией<a href="https://research.eye.security/sharepoint-under-siege/" target="_blank"> Eye Security</a>. Исследователи заметили первые атаки 18 июля 2025 года, когда EDR одного из клиентов компании сообщил о запуске подозрительного процесса, связанного с загруженным вредоносным файлом .aspx. Логи IIS показали, что был сделан POST-запрос к _layouts/15/ToolPane.aspx с HTTP-реферером /_layouts/SignOut.aspx.<br/>
<br/>
В ходе расследования инцидента было установлено, что злоумышленники использовали показанную на Pwn2Own атаку ToolShell вскоре после того, как компания CODE WHITE GmbH <a href="https://x.com/codewhitesec/status/1944743478350557232" target="_blank">воспроизвела эксплоит</a>, а ИБ-специалист Соруш Далили (Soroush Dalili) <a href="https://x.com/irsdl/status/1946166765316161634" target="_blank">поделился </a>техническими подробностями.<br/>
<br/>
<img alt="" border="0" class="bbCodeImage" src="https://xakep.ru/wp-content/uploads/2025/07/541667/toolshell-exploit.jpg"/><br/>
<br/>
Так, в процессе эксплуатации уязвимостей злоумышленники загружают файл spinstall0.aspx, который используется для кражи конфигурации MachineKey сервера SharePoint, включая ValidationKey и DecryptionKey.<br/>
<br/>
<div style="margin:20px; margin-top:5px; ">
<!-- <div class="smallfont" style="margin-bottom:2px">Quote:</div> -->
<table border="0" cellpadding="6" cellspacing="0" width="100%">
<tr>
<td class="alt2" style="background: rgb(37, 37, 37) none repeat scroll 0% 0%; border: 1px solid rgb(0, 0, 0); border-radius: 5px; font-size: 11px; text-shadow: none;">
<font size="3">«Используя цепочку ToolShell (CVE-2025-49706 + CVE-2025-49704), злоумышленники могут извлекать ValidationKey непосредственно из памяти или конфигурации», — объясняют специалисты Eye Security. — После утечки этого криптографического материала злоумышленник может создавать полностью действительные, подписанные __VIEWSTATE полезные нагрузки с помощью инструмента под названием ysoserial. С помощью ysoserial злоумышленник может генерировать собственные действительные токены SharePoint для RCE».</font>
</td>
</tr>
</table>
</div><img alt="" border="0" class="bbCodeImage" src="https://xakep.ru/wp-content/uploads/2025/07/541667/spinstall-script.jpg"/><br/>
<br/>
ViewState используется ASP.NET (именно он лежит в основе SharePoint) для сохранения состояния веб-элементов управления между запросами. Однако если защита ViewState настроена некорректно или скомпрометирован ValidationKey сервера, злоумышленники могут подделать содержимое ViewState и внедрить вредоносный код, который выполнится на сервере при десериализации.<br/>
<br/>
Эксперты Eye Security сообщили изданию <a href="https://www.bleepingcomputer.com/news/microsoft/microsoft-sharepoint-zero-day-exploited-in-rce-attacks-no-patch-available/" target="_blank">Bleeping Computer</a>, что они просканировали интернет в поисках взломанных серверов и обнаружили как минимум 54 организации, которые уже пострадали от атак.<br/>
<br/>
<div style="margin:20px; margin-top:5px; ">
<!-- <div class="smallfont" style="margin-bottom:2px">Quote:</div> -->
<table border="0" cellpadding="6" cellspacing="0" width="100%">
<tr>
<td class="alt2" style="background: rgb(37, 37, 37) none repeat scroll 0% 0%; border: 1px solid rgb(0, 0, 0); border-radius: 5px; font-size: 11px; text-shadow: none;">
<font size="3">«Хотя суммарно было обнаружено более 85 взломанных серверов SharePoint по всему миру, мы смогли объединить их в кластеры и определить, какие именно организации пострадали», — говорят исследователи.</font>
</td>
</tr>
</table>
</div>По данным Eye Security, среди 54 атакованных организаций числятся: частный университет в штате Калифорния, коммерческая энергетическая компания в штате Калифорния, государственная организация в сфере здравоохранения, коммерческая компания по разработке ИИ-технологий, коммерческая финтех-компания в штате Нью-Йорк и государственная организация в штате Флорида.<br/>
<br/>
Также об эксплуатации уязвимостей предупреждают специалисты Google Threat Intelligence Group (TAG):<br/>
<br/>
<div style="margin:20px; margin-top:5px; ">
<!-- <div class="smallfont" style="margin-bottom:2px">Quote:</div> -->
<table border="0" cellpadding="6" cellspacing="0" width="100%">
<tr>
<td class="alt2" style="background: rgb(37, 37, 37) none repeat scroll 0% 0%; border: 1px solid rgb(0, 0, 0); border-radius: 5px; font-size: 11px; text-shadow: none;">
<font size="3">«Google Threat Intelligence Group обнаружила, что злоумышленники используют уязвимости для установки веб-шеллов и кражи криптографических секретов с серверов жертв. Это обеспечивает постоянный неавторизованный доступ и представляет значительный риск для пострадавших организаций», — сообщили специалисты TAG.</font>
</td>
</tr>
</table>
</div><a href="https://xakep.ru/2025/07/21/sharepoint-0days/" target="_blank">@ xakep.ru</a>
</div>


All times are GMT. The time now is 05:29 PM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.