Microsoft выпустила экстренные обновления для уязвимостей нулевого дня в SharePoint, которые активно эксплуатируются.

Корпорация Microsoft выпустила экстренные обновления безопасности для двух активно эксплуатируемых уязвимостей нулевого дня в SharePoint, идентифицированных как CVE-2025-53770 и CVE-2025-53771. Эти уязвимости привели к компрометации серверов по всему миру в результате атак, получивших название "ToolShell". Агентство США по кибербезопасности и инфраструктурной безопасности (CISA) предупредило в выходные, что злоумышленники используют эти уязвимости для получения удаленного выполнения кода на локальных установках SharePoint. Microsoft пока не предоставила исправления для всех затронутых версий.

Уязвимости позволяют злоумышленникам похищать закрытые цифровые ключи с серверов SharePoint без необходимости аутентификации, что дает им возможность устанавливать вредоносное программное обеспечение и получать доступ к хранящимся файлам и данным. Компания Eye Security, первой обнаружившая атаки в субботу, выявила десятки серверов, подвергшихся активной эксплуатации, и предупредила, что интеграция SharePoint с Outlook, Teams и OneDrive может привести к дальнейшему компрометированию сети. Исследователь Сайлас Катлер (Silas Cutler) из компании Censys оценил, что более 10 000 компаний с серверами SharePoint находятся в зоне риска, при этом наибольшая концентрация зафиксирована в Соединенных Штатах, Нидерландах, Соединенном Королевстве и Канаде.

Microsoft выпустила исправления для SharePoint 2019 и Subscription Edition, но продолжает работу над исправлениями для SharePoint Server 2016. В соответствии с рекомендациями Microsoft по безопасности, администраторы должны немедленно установить доступные обновления и сменить ключи машин, чтобы предотвратить повторное проникновение.