Kritična SharePoint Zero-Day ranjivost (CVE-2025-53770)

Sažetak

Otkrivena je kritična „zero-day“ ranjivost, evidentirana kao CVE-2025-53770, koja se aktivno iskorištava na lokalnim (on-premises) Microsoft SharePoint poslužiteljima. Zakrpa trenutno ne postoji, a najmanje 29 organizacija diljem svijeta, s preko 85 SharePoint poslužitelja, već je kompromitirano od 18. srpnja. Napadači iskorištavaju ovu ranjivost kako bi izvršili udaljeno izvršavanje koda (RCE), pri čemu postavljaju zlonamjernu datoteku „spinstall0.aspx“ na server, pomoću koje kradu MachineKey konfiguraciju (ValidationKey i DecryptionKey). To im omogućuje generiranje valjanih SharePoint tokena za daljnje napade.

Detalji Ranjivosti

Ranjivost CVE-2025-53770 omogućuje neautentificirano udaljeno izvršavanje koda i predstavlja varijantu prethodne ranjivosti CVE-2025-49706, koja je zajedno s CVE-2025-49704 korištena u PoC napadu poznatom kao „ToolShell“. Iako su te ranjivosti zakrpane tijekom srpanjskog Patch Tuesday izdanja, ova nova varijanta se pojavila kao posebno opasna jer za nju nema zakrpe.

Napad uključuje slanje POST zahtjeva prema /_layouts/15/ToolPane.aspx s HTTP refererom /_layouts/SignOut.aspx. Tijekom napada, napadač postavlja zlonamjernu datoteku spinstall0.aspx u direktorij:

C:\PROGRA~1\COMMON~1\MICROS~1\WEBSER~1\16\TEMPLATE\LAYOUTS\spinstall0.aspx

Ova datoteka koristi se za krađu ValidationKey i DecryptionKey SharePoint poslužitelja. S tim kriptografskim materijalima, napadači mogu generirati validne __VIEWSTATE payloadove (ASP.NET mehanizam), koristeći alate poput ysoserial, čime ostvaruju proizvoljno izvršavanje koda na kompromitiranom sustavu.

Utjecaj

Ova ranjivost omogućuje potpuno preuzimanje kontrole nad pogođenim SharePoint poslužiteljem bez autentifikacije. Potencijalne posljedice uključuju:

• Krađu podataka – pristup osjetljivim informacijama na SharePoint sustavu.
• Kompromitaciju sustava – daljnje širenje unutar mreže.
• Instalaciju malwarea – unošenje dodatnog zlonamjernog softvera.
• Ometanje usluga – potencijalni prekidi rada ili oštećenje podataka.

Pogođeni Proizvodi

• Microsoft SharePoint Server 2016 (on-premises)
• Microsoft SharePoint Server 2019 (on-premises)
• Microsoft SharePoint Server Subscription Edition (on-premises)

Microsoft 365 nije pogođen ovom ranjivošću.

Preporučene Mjere

Budući da zakrpa još nije dostupna, Microsoft preporučuje sljedeće korake:

1. Omogućite AMSI integraciju u SharePointu

• AMSI (Antimalware Scan Interface) omogućuje aplikacijama da šalju potencijalno zlonamerni sadržaj antivirusnom softveru na skeniranje u stvarnom vremenu.
• AMSI je po zadanome omogućen od:
  • rujna 2023. za SharePoint Server 2016/2019
  • verzije 23H2 za SharePoint Server Subscription Edition
• Omogućavanje AMSI funkcije navodno sprječava neautentificirane napade koji koriste ovu ranjivost.

2. Provedite detekciju na temelju indikatora kompromitacije (IoC)

Provjerite postojanje:

• Datoteke:
  C:\PROGRA~1\COMMON~1\MICROS~1\WEBSER~1\16\TEMPLATE\LAYOUTS\spinstall0.aspx
• HTTP POST zahtjeva prema:
  /_layouts/15/ToolPane.aspx?DisplayMode=Edit&a=/ToolPane.aspx
  s refererom: /_layouts/SignOut.aspx
• Dolaznih ili odlaznih veza prema IP adresama:
  • 107.191.58[.]76 (viđeno 18. srpnja)
  • 104.238.159[.]149 (viđeno 19. srpnja)
  • 96.9.125[.]147 (viđeno od strane Palo Alto Networks)