19 lipca 2025 roku Microsoft opublikował opis luki typu zero-day CVE-2025-53770 umożliwiającej atak na serwery Microsoft SharePoint on-premises poprzez nieautoryzowane wykonanie zdalnego kodu, co stanowi poważne zagrożenie dla firm i instytucji przechowujących wrażliwe dane na własnej infrastrukturze. Serwery chmurowe SharePoint Online nie są podatne na powyższą lukę.
Powyższa luka pozwala na deserializację niezaufanych danych z pominięciem uwierzytelnienia i umożliwia atakującemu obejście poprawek wprowadzonych w lipcowych biuletynach bezpieczeństwa, dotyczących podatności CVE-2025-49704 oraz CVE-2025-49706. Równolegle z nią opublikowano CVE-2025-53771, będącą „patch bypass” dla innej luki z łańcucha ToolShell (CVE-2025-49706), pozwalającej nieautoryzowanemu użytkownikowi na dostęp do informacji bez wpływu na dostępność usług. Obie luki bezpieczeństwa – dotycząca nieautoryzowanego dostępu do danych i nieautoryzowanego wykonania kodu zostały ujawnione na konkursie Trend Micro’s Zero Day Initiative Pwn2Own Berlin 2025, ale nowe poprawki zawierają bardziej solidne zabezpieczenia niż ich pierwowzory opracowane na tej konferencji.
Mechanizm ataku
- Atakujący wysyła spreparowane żądanie POST do endpointa
/_layouts/*/ToolPane.aspxco powoduje deserializację złośliwych obiektów w kontekście IIS. - Po uzyskaniu wykonania kodu w katalogu Layouts instalowany jest webshell
spinstall0.aspx. - Z webshella ekstrachowane są klucze cryptograficzne ValidationKey i DecryptionKey.
- Używając skradzionych kluczy, atakujący podpisują dalsze żądania do serwera i w pełni przejmują kontrolę nad serwerem, niezależnie od późniejszego usunięcia webshella.
Podatne wersje SharePoint i zalecane działania ochronne
W celu ochrony przed podatnościami należy niezwłocznie zastosować najnowsze poprawki dla wszystkich wspieranych wersji SharePoint Server 2016, 2019 oraz Subscription Edition oraz upewnić się, że integracja z Antimalware Scan Interface (AMSI) jest włączona i poprawnie skonfigurowana, najlepiej w trybie Full Mode z Microsoft Defender Antivirus na serwerach SharePoint.
Po instalacji łatek oraz uruchomieniu AMSI warto dokonać rotacji kluczy ASP.NET Machine Keys i zrestartować IIS zgodnie z dokumentacją SharePoint.
Jeżeli nie jest możliwe niezwłoczne załatwienie poprawek, odłączyć serwery SharePoint od Internetu lub ograniczyć ruch do uwierzytelnionego VPN/proxy.
Poniżej zestawiono wersje SharePoint objęte podatnością oraz odpowiadające im aktualizacje bezpieczeństwa.
| Wersja SharePoint | Numer poprawki | KB |
|---|---|---|
| SharePoint Server Subscription Edition | 16.0.18526.20508 | KB5002768 |
| SharePoint Server 2019 | 16.0.10417.20037 | KB5002754 (server) oraz KB5002753 (language pack) |
| SharePoint Enterprise Server 2016 | 16.0.5513.1001 | KB5002760 (server) oraz KB5002759 (language pack) |
Ataki wykorzystujące lukę CVE-2025-53770
Pierwsze próby wykorzystania luki CVE-2025-53770 odnotowano już 7 lipca 2025 r., przeciwko infrastrukturze rządowej w USA i Europie Zachodniej. Microsoft oficjalnie potwierdził aktywne próby wykorzystania luk, dotychczas potwierdzono ponad 80 instalacji SharePoint zainfekowanych z wykorzystaniem tej luki, między innymi farmę SharePoint należącą do National Nuclear Security Administration, część Departamentu Energii rządu USA.
Badacze odnotowali, że w próbach ataku uczestniczyły chińskie grupy państwowe Linen Typhoon i Violet Typhoon oraz aktor Storm-2603, wykorzystujące łańcuch ToolShell dla uzyskania nieautoryzowanego dostępu.