Atac cibernetic asupra serverelor SharePoint On-Premises: Microsoft avertizează asupra vulnerabilităților critice

Microsoft a emis recent o avertizare cu privire la atacuri active care vizează clienții SharePoint Server on-premises. Aceste atacuri exploatează două vulnerabilități nou descoperite, CVE-2025-53770 și CVE-2025-53771, care permit atacatorilor să execute cod și să efectueze spoofing prin rețea. Este important de menționat că SharePoint Online din Microsoft 365 nu este afectat.

Organizații importante și agenții guvernamentale, inclusiv din SUA, utilizează servere SharePoint on-premises, ceea ce face ca aceste atacuri să fie deosebit de îngrijorătoare.

Ce se întâmplă?

Atacatorii ocolesc controalele de identitate, inclusiv MFA și SSO, pentru a obține acces privilegiat. Odată ajunși în sistem, exfiltrează date sensibile, implementează backdoor-uri persistente și fură chei criptografice. Integrarea profundă a SharePoint cu platforma Microsoft, inclusiv servicii precum Office, Teams, OneDrive și Outlook, face ca un compromis să fie cu atât mai periculos, deschizând ușa către întreaga rețea.

Ce trebuie să faci?

Microsoft a lansat deja o actualizare pentru a remedia aceste vulnerabilități. Clienții care utilizează SharePoint Subscription Edition ar trebui să aplice imediat actualizarea de securitate furnizată în CVE-2025-53771. Cei care utilizează SharePoint 2016 sau 2019 ar trebui să facă upgrade și apoi să aplice actualizarea.

Experții în securitate cibernetică avertizează că simpla instalare a patch-ului ar putea fi insuficientă pentru a elimina complet amenințarea. Dacă aveți SharePoint on-premises expus la internet, este recomandat să presupuneți că ați fost compromis și să luați măsuri suplimentare de securitate.

Informații suplimentare

• CISA (Agenția pentru Securitatea Cibernetică și a Infrastructurii) a publicat detalii despre aceste vulnerabilități și despre modul în care sunt exploatate. Atacul, cunoscut sub numele de "ToolShell," oferă acces neautentificat la sisteme și permite actorilor rău intenționați să acceseze complet conținutul SharePoint, inclusiv sistemele de fișiere și configurațiile interne.
• Palo Alto Networks Unit 42, o echipă de cercetare a amenințărilor de securitate cibernetică, a oferit detalii suplimentare despre tipurile de acțiuni pe care atacatorii le-au întreprins după ce au exploatat aceste vulnerabilități.

Recomandări

• Aplicați imediat actualizările de securitate furnizate de Microsoft.
• Monitorizați activitatea sistemelor SharePoint pentru a detecta orice comportament suspect.
• Implementați măsuri suplimentare de securitate, cum ar fi autentificarea multi-factor (MFA) și accesul condiționat.
• Consultați resurse de securitate cibernetică, precum CISA și Microsoft, pentru a vă menține la curent cu cele mai recente amenințări și cele mai bune practici.