Технологический гигант Microsoft выпустил экстренное предупреждение о серии активных кибератак, нацеленных на локальные серверы SharePoint. Эксперты по кибербезопасности настоятельно рекомендуют всем затронутым организациям "считать, что вы уже скомпрометированы".

По данным Reuters, ФБР осведомлено об атаках и тесно сотрудничает с федеральными и частными партнерами. Microsoft также работает с Агентством по кибербезопасности и защите инфраструктуры (CISA), Командованием киберзащиты Министерства обороны США и ключевыми партнерами в сфере кибербезопасности. Вовлечение столь высокопоставленных организаций явно означает, что это не просто очередной рандомный хак.

SharePoint – это серверная система управления контентом и документами, которую организации используют для внутренних сайтов, социальных медиа и документации. Нынешние атаки эксплуатируют две недавно обнаруженные уязвимости в SharePoint Server.

Microsoft заявила, что пользователи SharePoint Online в Microsoft 365 не затронуты. Однако локальные серверы SharePoint, которые подвержены этим уязвимостям, широко используются крупными организациями и правительственными структурами, включая учреждения США.

Обнаруженные уязвимости нулевого дня (CVE-2025-53770 и CVE-2025-53771) при эксплуатации позволяют злоумышленникам выполнять код через сеть и осуществлять спуфинг через сеть соответственно.

CISA предоставило дополнительные подробности об атаках:

Эта вредоносная активность, публично известная как "ToolShell", обеспечивает неавторизованный доступ к системам и позволяет злоумышленникам получить полный доступ к контенту SharePoint, включая файловые системы и внутренние конфигурации, а также выполнять код через сеть.

Microsoft уже выпустила обновление для устранения этих уязвимостей:

Клиентам, использующим SharePoint Subscription Edition, следует немедленно применить обновление безопасности, предоставленное в CVE-2025-53771, чтобы смягчить уязвимость.

Организациям, использующим SharePoint 2016 или 2019, рекомендуется обновиться и затем применить патч.

Однако сложно оценить масштаб ущерба, который уже мог быть нанесен. Команда исследования угроз Palo Alto Networks Unit 42 предоставила дополнительные сведения о последствиях эксплуатации этих уязвимостей:

Злоумышленники обходят средства контроля идентификации, включая многофакторную аутентификацию и единый вход, для получения привилегированного доступа... После проникновения они похищают конфиденциальные данные, устанавливают постоянные бэкдоры и крадут криптографические ключи. Атакующие используют эту уязвимость для проникновения в системы и уже закрепляются в них.

Эксперт по кибербезопасности добавляет:

Если ваш локальный SharePoint доступен из интернета, на данный момент следует предполагать, что вы уже скомпрометированы. Простого патча недостаточно для полного устранения угрозы.

Особенно опасной эту ситуацию делает глубокая интеграция SharePoint с платформой Microsoft, включая сервисы Office, Teams, OneDrive и Outlook, которые содержат ценную для злоумышленников информацию. Компрометация не остается локализованной – она открывает доступ ко всей сети.

Реальные масштабы последствий этих атак станут известны только после детального расследования.

Темы и теги

США Наука и Технологии

SharePoint локальный сервер массовый атака Microsoft уязвимость правительственный организация Агентство по кибербезопасности и защите инфраструктуры