Новые пробелы в SharePoint Server. Microsoft подтверждает атаки китайских групп и рекомендует немедленную установку исправлений

ИТ -инфраструктура государственных компаний и учреждений по -прежнему подвергается воздействию атак. Даже программное обеспечение крупнейших поставщиков, используемых для управления важными данными, может скрывать ошибки. Их обнаружение и использование специализированных групп хакеров представляет собой реальную угрозу безопасности данных по всему миру. Последний инцидент показывает, что масштаб проблемы является серьезным, а государственные организации могут быть за атаками.

Комбинация двух пробелов в программном обеспечении Microsoft SharePoint Server позволяет злоумышленнику пройти полное управление сервером без аутентификации. Рекомендуется немедленная установка исправлений.

1 миллиард долларов на киберготию за счет защиты. Трамп радикально меняет стратегию кибербезопасности США

Microsoft подтвердила лидерство массовых кибератак на локальные серверы SharePoint Server с помощью трех хакерских групп, связанных с Китаем. Компания опубликовала исправления аварийной безопасности для критических пробелов в нулевом дне, отмеченных CVE-2025-53770 и CVE-2025-53771, которые активно использовались с начала июля 2025 года. Компания определила три группы, ответственные за атаки. Linen Typhoon работает с 2012 года и фокусируется на краже интеллектуальной собственности, фокусируется на правительственных, защитных и стратегических организациях планирования. Фиолетовый тайфун, действующий с 2015 года, проводит шпионаж против бывших правительственных и армейских сотрудников, НПО, а также в образовательных учреждениях в США, Европе и Восточной Азии. Третья группа Storm-2603 оценивается как китайская группа, которая в прошлом использовала ransomware Warlco и Lockbit.

Киберпреступники используют фальшивые учетные записи GitHub для размещения злоумышленного программного обеспечения Amadey и фишинговой стеганографии

Чувствительность применяется только к локальным установкам SharePoint Server и не влияет на работу SharePoint Online как часть Microsoft 365. Основной разрыв CVE-2025-53770 получил самый высокий рейтинг угроз 9,8 из 10 и позволяет хакерам активировать свой собственный код на серверах, атакованные посылая специально подготовленные данные. CVE-2025-53771-это обход предыдущих коррекций безопасности. Оба пробела были добавлены в известный каталог эксплуатируемых уязвимостей агентства CISA. Хакеры используют цепочку восприимчивости, известную как инструмент, для получения несанкционированного доступа к серверам SharePoint. После успешного кражи со взломом хакеры размещают вредоносный файл spinstall0.aspx на сервер, который работает как задняя дверь. Этот файл позволяет им украсть конфиденциальные ключи безопасности и поддерживать постоянный доступ к системе даже после ремонта исходного пробела. Microsoft наблюдала случаи нападений на десятки организаций, включая правительственные учреждения США. Компания рекомендует немедленно использовать выпущенные исправления безопасности для всех поддерживаемых версий SharePoint Server. Также важно включать и настраивать интерфейс противоматурного сканирования, а также реализацию антивируса Microsoft Defender на всех серверах SharePoint. После обновления необходимо вращение клавиш машин ASP.NET и перезапуск услуг IIS. Microsoft подчеркивает, что организации, использующие более старые, убыточные версии SharePoint, должны отключить их от Интернета или рассмотреть полное прекращение их использования.

Источник: Блог Microsoft Security, Microsoft Security Center