Критична уразливість SharePoint CVE-2025-53770 під загрозою експлуатації

Головна — News — Критична уразливість SharePoint CVE-2025-53770 під загрозою експлуатації

Огляд: Команди безпеки по всьому світу б’ють на сполох через вразливість з віддаленим виконанням коду (RCE) у Microsoft SharePoint Server, яка отримала серйозність CVSSv3 9.8. Ця вразливість, зафіксована під номером CVE-2025-53770, дозволяє зловмисникам використовувати недоліки в серіалізації ASP.NET ViewState для викрадення матеріалу MachineKey, підробки дійсних __VIEWSTATE-пейлоадів та ескалації привілеїв у корпоративних мережах.

Деталі вразливості та ланцюг експлуатації

Основна проблема полягає в тому, як SharePoint обробляє серіалізовані ViewState та інші структури даних ASP.NET. Витік ValidationKey з пам’яті або конфігурації дозволяє зловмисникам обійти перевірки підписів, створити підписані пейлоади за допомогою ysoserial та виконати довільні команди.

Початковий доступ: Неавторизований HTTP-запит до /_layouts/15/start.aspx для збору __VIEWSTATEGENERATOR.

Витяг ключів: Ланцюг експлуатації, що поєднує CVE-2025-49704 і CVE-2025-49706 (демонстровано на Pwn2Own Berlin), читає MachineKey (ValidationKey + DecryptionKey).

Генерація пейлоадів: Використання ysoserial.exe -p ViewState -g TypeConfuseDelegate з витягнутими ключами для створення підписаного __VIEWSTATE для RCE.

Віддалене виконання коду: Надсилання шкідливого __VIEWSTATE до /_layouts/15/success.aspx, що активує пейлоади на базі PowerShell або C# без аутентифікації.

“Це не був типовий веб-шелл. Замість зворотних шеллів або C2 маяків, ToolShell викликав внутрішні механізми .NET для витягування матеріалу MachineKey, що дозволяло створення довільних підписаних пейлоадів.” – Eye Security Research

Дослідник погрожує судовим позовом X через французьке розслідування

2025-07-21

Патчі та заходи з пом’якшення

Застосуйте термінові оновлення Microsoft для SharePoint Subscription Edition та SharePoint 2019 (патчі випущені 22 липня 2025 року).

Для SharePoint 2016 (який не патчений) впровадьте Antimalware Scan Interface і заблокуйте вхідний HTTP(S) до /_layouts/15/.

Змініть всі значення ASP.NET MachineKey та перезапустіть IIS для анулювання викрадених ключів.

Проведіть форензичний аналіз кінцевих точок: шукайте нетипові виклики Fiddler або ysoserial та аномальні розміри параметрів __VIEWSTATE.

Хронологія атак і атрибуція

Згідно з інформацією Eye Security, дві великі хвилі атак відбулися 18 липня (18:00 UTC) та 19 липня (07:30 UTC), націлюючись на десятки глобальних організацій. Федеральні агентства США (The Washington Post повідомляє) підтвердили факти вторгнень. Агентство з кібербезпеки та інфраструктурної безпеки США (CISA) видало термінову директиву 20 липня, в якій вказано IOCs і рекомендовано посилити ведення журналів доступу до MachineKey.

Велика Британія відмовилася від вимоги до Apple щодо шифрування

2025-07-21

Стратегії виявлення та реагування на інциденти

Окрім патчування, захисникам слід впроваджувати мережеві та прикладні контролі:

Веб-додаткова брандмауер (WAF): Створити індивідуальні правила для перевірки підписів ViewState на основі відомих наборів ключів.

Моніторинг поведінки: Сповіщати про аномальні POST-запити до /_layouts/15/success.aspx або надмірні розміри ViewState (>1 МБ).

Форензичне зображення: Захопити дампи пам’яті серверів фронтенду SharePoint для виявлення рутин витягування ключів з пам’яті.

Гігієна облікових даних: Змінювати облікові записи служб, впроваджувати MFA для облікових записів адміністраторів SharePoint та проводити аудит використання токенів з привілеями адміністратора.

Довгострокові заходи пом’якшення та безпечна конфігурація

Організаціям слід переглянути свої політики управління патчами та зміцнення систем:

Принцип найменших привілеїв: Обмежити ідентичність SharePoint Pool лише необхідними дозволами на файлову систему та реєстр.

Шифрування конфігурації: Перемістити секції MachineKey в зашифрований реєстр або Azure Key Vault для хмарно-гибридних розгортань.

Регулярні вправи червоної команди: Симулювати атаки на ViewState за допомогою індивідуальних модулів ysoserial для перевірки здібностей виявлення.

Аудити ланцюга постачання: Перевіряти сторонні додатки SharePoint, які можуть відкривати непередбачені кінцеві точки серіалізації.

Думка експерта

Аманда Руссо, директорка з досліджень в Black Hills Information Security, зазначає: “Ця вразливість підкреслює ризик неконтрольованої обробки ViewState. Навіть після патчування, вкрадені MachineKey залишаються до моменту їх зміни, що дозволяє непомітно продовжувати ланцюг експлуатації.”

Ключові висновки

Припускайте компрометацію: минулі експлойти можуть вже вкрасти критично важливий криптографічний матеріал.

Патчування саме по собі недостатньо; необхідна повна ротація ключів, форензична валідація та сегментація мережі.

Залишайтеся пильними до нових варіантів CVE, що націлюються на механізми серіалізації ASP.NET.