Zero-day w Microsoft SharePoint. Pilna aktualizacja

Podatność zero-day w Microsoft SharePoint została wykorzystana w cyberataku na dużą skalę, który doprowadził do kompromitacji serwerów 75 firm, w tym dużych korporacji i agencji rządowych USA. Microsoft podaje instrukcje dla użytkowników dotyczące wdrożenia najnowszych aktualizacji.

Co istotne, jak czytamy w oficjalnym oświadczeniu firmy na platformie LinkedIn, aktualnie brakuje aktualizacji na wersję SharePoint 2016, a wydane już aktualizacje dotyczą wyłącznie lokalnych serwerów SharePoint.

Poważna podatność

Luka w zabezpieczeniach Microsoft SharePoint ma ocenę 9.8 w skali CVSS. Umożliwia zdalne wykonanie kodu (RCE) nieuwierzytelnionym użytkownikom poprzez wykorzystanie sposobu, w jaki SharePoint deserializuje niezaufane dane. Według doniesień, atakujący wykorzystują tę lukę również do kradzieży kluczy kryptograficznych i wdrażania trwałych powłok sieciowych, które zapewnią im pełną kontrolę nad dotkniętymi systemami.

Należy również zauważyć, że CVE-2025-53770 jest wariantem CVE-2025-49706, który Microsoft załatał w lipcowych aktualizacjach.

X źródłem ekspolita

Wieczorem 18 lipca 2025 r. firma Eye Security zidentyfikowała aktywne, zakrojone na szeroką skalę wykorzystywanie nowego łańcucha luk w zabezpieczeniach SharePoint do zdalnego wykonywania kodu (RCE), nazwanego ToolShell, zademonstrowanego zaledwie kilka dni temu na X.

Alert CISA oraz rekomendacje

CISA potwierdza aktywną eksploitację luki zdalnego wykonywania kodu w SharePoint (CVE‑2025‑53770), znanej pod nazwą „ToolShell”. Podatność została dodana do katalogu „Known Exploited Vulnerabilities” (KEV) 20 lipca 2025 r. CISA opublikowała również   rekomendacje w celu zmniejszenia ryzyka związanego z kompromitacją RCE.