Microsoft подтвердила, что хакеры используют уязвимости SharePoint и исправляют их сейчас

Компания Microsoft выпустила новые обновления безопасности, устраняющие две серьезные уязвимости, затрагивающие локальные серверы SharePoint, и предупредила, что злоумышленники уже используют их в своих активных кампаниях.

Уязвимости, обозначенные как CVE-2025-53770 и CVE-2025-53771 , отсутствуют в SharePoint Online, но локальные среды, использующие SharePoint 2019 и SharePoint Subscription Edition, подвергаются непосредственному риску.

Согласно обновлённому руководству Microsoft, исправления для SharePoint 2019 и Subscription Edition уже доступны и полностью устраняют обе уязвимости. Однако пользователи SharePoint 2016 всё ещё ждут, поскольку, по словам Microsoft, обновления для этой версии всё ещё находятся в разработке. Тем временем компания рекомендует затронутым пользователям установить существующие исправления, включить ключевые средства защиты и подготовиться к дополнительным обновлениям.

Эти две уязвимости опасны тем, что позволяют злоумышленникам выполнять код и внедрять веб-шеллы на уязвимые серверы. Microsoft заявляет, что подобные атаки уже были зафиксированы, и одним из явных признаков взлома является наличие подозрительного файла spinstall0.aspx . Аналитики безопасности рекомендуют проверять каталоги серверов SharePoint на наличие этого файла, поскольку он часто сигнализирует об активности после эксплуатации уязвимости.

Хотя для некоторых версий исправления уже доступны, Microsoft подчёркивает, что одного лишь исправления недостаточно. Для полного устранения проблемы пользователям также следует сменить ключи компьютера и перезапустить IIS. Эти шаги особенно важны для пользователей SharePoint Server 2019 и Subscription Edition, для которых исправления доступны уже сегодня.

Чтобы защитить вашу систему от взлома, Microsoft призывает организации использовать многоуровневый подход: немедленно обновить систему, включить интерфейс сканирования на наличие вредоносных программ (AMSI), сменить ключи компьютера и развернуть защиту конечных точек.

Антивирус Microsoft Defender и Defender for Endpoint способны обнаруживать известное поведение, связанное с этой угрозой, включая особые сигнатуры вредоносных программ, такие как HijackSharePointServer.A и SuspSignoutReq.A .

Компания также рекомендует развернуть Microsoft Defender для конечных точек или аналогичный инструмент обнаружения угроз, поскольку он выдает оповещения, которые могут сигнализировать о попытках эксплуатации уязвимостей. В журналах они могут отображаться как необычная активность в процессах w3wp.exe или закодированные команды PowerShell, связанные с развертыванием веб-оболочки.

Хотя Microsoft продолжает поддерживать версии 2016 и 2019, более старые версии, такие как SharePoint 2010 и 2013, больше не поддерживаются обновлениями безопасности , что делает вашу систему уязвимой для дальнейших атак. Поэтому, если вы всё ещё используете старые или неподдерживаемые версии SharePoint, обновите их до последних.