Kritická zranitelnost umožňující vzdálené spuštění kódu v serveru Microsoft SharePoint Server

Analýza společnosti Bitdefender potvrdila aktivní a rozsáhlé zneužívání kritické zranitelnosti CVE-2025-53770 umožňující vzdálené spuštění kódu (RCE), která ovlivňuje  lokální nasazení serveru Microsoft SharePoint Server. Tato chyba deserializace se skóre 9,8 v testu CVSSv3.1 umožňuje neověřeným útočníkům spouštět libovolný kód v postižených sítích, což vede k úplnému ohrožení systému. Kombinované vyšetřování MDR (Managed Detection and Response) společnosti Bitdefender a výzkum telemetrie společnosti Bitdefender Labs potvrdily aktivní zneužívání této zranitelnosti v reálných podmínkách, přičemž detekce byly pozorovány v řadě zemí, včetně USA, Kanady, Rakouska, Jordánska, Mexika, Německa, Jižní Afriky, Švýcarska a Nizozemska.

 Americká Agentura pro kybernetickou bezpečnost a bezpečnost infrastruktury (CISA) přidala tuto zranitelnost do svého katalogu známých zneužitých zranitelností (KEV) kvůli pozorované kampani zneužití „ToolShell".  

Tato zranitelnost slouží jako obchvat dříve vydaných oprav pro chyby CVE-2025-49704 a CVE-2025-49706 a všechny organizace s místním SharePoint Serverem musí okamžitě podniknout kroky. 

Dotčené produkty 

Následující místní verze serveru Microsoft SharePoint Server jsou známé jako zranitelné: 

• Microsoft SharePoint Server 2016 (opraveno v aktualizaci KB5002760)
• Microsoft SharePoint Server 2019 (opraveno v aktualizaci KB5002754) 
• Microsoft SharePoint Server Subscription Edition (opraveno v KB5002768) 

V případě SharePoint Serveru 2016 pečlivě sledujte oficiální kanály společnosti Microsoft, kde se dozvíte o vydání opravy. Neprodleně implementujte prozatímní zmírňující opatření a okamžitě nainstalujte aktualizaci zabezpečení KB5002760.

Poznámka: Microsoft SharePoint Online (Microsoft 365) NENÍ ovlivněn chybou CVE-2025-53770. 

Technický hloubkový ponor 

Chyba CVE-2025-53770 zneužívá slabinu v tom, jak server Microsoft SharePoint Server zpracovává deserializaci nedůvěryhodných dat. Útočníci tuto chybu využívají k získání neověřeného vzdáleného spuštění kódu. V praxi pozorovaný řetězec útoků „ToolShell" zahrnuje exfiltraci klíčů ASP.NET MachineKeys (konkrétně ValidationKey a DecryptionKey ). Útočníci toho dosahují nasazením škodlivých webových shellů ASP.NET, které programově extrahují tyto citlivé kryptografické klíče. Tyto ukradené klíče se poté používají k vytváření a podepisování škodlivých datových částí __VIEWSTATE , které servery SharePoint přijímají jako legitimní, čímž se vytváří trvalý přístup a umožňuje se provádění libovolných příkazů. 

__VIEWSTATE je skryté pole, které webové aplikace ASP.NET, jako je SharePoint, používají k uchování stavu webové stránky napříč různými požadavky. Jednoduše řečeno, když s webovou stránkou interagujete (např. vyplníte formulář, kliknete na tlačítko), stránka si často musí pamatovat, co tam bylo před jejím odesláním nebo opětovným načtením. __VIEWSTATE je mechanismus, který ukládá tyto informace (například hodnoty v polích formuláře nebo stav určitých ovládacích prvků) na straně klienta (v prohlížeči uživatele) a s každým požadavkem je odesílá zpět na server. To umožňuje serveru rekonstruovat předchozí stav stránky, aniž by musel všechny tyto informace ukládat na samotný server. 

Společnost Bitdefender Labs potvrdila několik pokusů o zneužití této zranitelnosti po celém světě. Tyto útoky jsou obvykle spíše oportunistické než silně cílené, což demonstruje široké skenovací a exploitační úsilí zaměřené na kompromitaci zranitelných systémů, ať už se nacházejí kdekoli. Tento druh počátečního zneužití RCE často slouží jako předmostí, přičemž skutečný následný útok (např. nasazení ransomwaru) probíhá o několik dní nebo dokonce týdnů později. 

Obvykle pozorujeme, že mezi zveřejněním kódu Proof-of-Concept (PoC) a jeho integrací do automatizovaných skenerů používaných k napadení zranitelných systémů uplyne méně než 24 hodin. Jedná se o jednu z trendových praktik ransomwaru, jak je podrobně uvedeno v našem dokumentu: Ransomware: Komplexní průvodce prevencí a reakcí.

Analýza pozorovaného užitečného zatížení při exploataci 

Společnost Bitdefender pozorovala nasazení specifických datových částí webového shellu ASP.NET po počátečním zneužití. Tento kód C#, vložený do stránky ASP.NET, je navržen tak, aby se spustil při načtení stránky. Jeho primární funkcí je programově přistupovat k konfiguraci MachineKey a extrahovat ji z napadeného serveru SharePoint. 

<%@ Import Namespace="System.Diagnostics" %>

<%@ Import Namespace="System.IO" %>

   |   Solutia s.r.o.   |   All Rights Reserved. |   Logo ke stažení