Mastodon
Connect with us

Hacking

Κρίσιμη ευπάθεια στο SharePoint: Επίθεση σε 75+ οργανισμούς

Κρίσιμη ευπάθεια στο SharePoint εκμεταλλεύεται 75+ οργανισμούς παγκοσμίως.

Published

on

Κρίσιμη ευπάθεια στο SharePoint: Επίθεση σε 75+ οργανισμούς

Η απειλή του zero-day και το μέγεθος της επίθεσης

Μια σοβαρή ευπάθεια ασφαλείας στο Microsoft SharePoint Server έχει αξιοποιηθεί ως μέρος μιας “ενεργής, μεγάλης κλίμακας” εκστρατείας εκμετάλλευσης. Η ευπάθεια αυτή, γνωστή ως CVE-2025-53770 (με CVSS βαθμολογία 9.8), αποτελεί παραλλαγή της CVE-2025-49706 (με CVSS βαθμολογία 6.3), ένα πρόβλημα spoofing που είχε αντιμετωπιστεί από τη Microsoft στις ενημερώσεις Patch Tuesday του Ιουλίου 2025.

Η Microsoft, σε σχετική συμβουλευτική ανακοίνωση στις 19 Ιουλίου 2025, δήλωσε: “Η απο-σειριοποίηση μη αξιόπιστων δεδομένων στο on-premises Microsoft SharePoint Server επιτρέπει σε έναν μη εξουσιοδοτημένο επιτιθέμενο να εκτελεί κώδικα μέσω δικτύου”. Η εταιρεία επισημαίνει ότι ετοιμάζει και δοκιμάζει πλήρως μια ολοκληρωμένη ενημέρωση για την επίλυση του προβλήματος, ενώ ευχαριστεί τη Viettel Cyber Security για την ανακάλυψη και αναφορά της ευπάθειας μέσω της πρωτοβουλίας Zero Day Initiative της Trend Micro.

Η απουσία επίσημης ενημέρωσης και οι προσωρινές λύσεις

Σε ξεχωριστή ειδοποίηση το Σάββατο, η Microsoft ανέφερε ότι γνωρίζει για ενεργές επιθέσεις που στοχεύουν πελάτες του on-premises SharePoint Server, αλλά τόνισε ότι το SharePoint Online στο Microsoft 365 δεν επηρεάζεται. Ελλείψει επίσημης ενημέρωσης, η Microsoft προτρέπει τους πελάτες να ρυθμίσουν την ενσωμάτωση του Antimalware Scan Interface (AMSI) στο SharePoint και να εγκαταστήσουν το Defender AV σε όλους τους διακομιστές SharePoint.

Σημειώνεται ότι η ενσωμάτωση του AMSI είναι ενεργοποιημένη από προεπιλογή στην ενημέρωση ασφαλείας του Σεπτεμβρίου 2023 για το SharePoint Server 2016/2019 και στην ενημέρωση χαρακτηριστικών Version 23H2 για το SharePoint Server Subscription Edition. Για όσους δεν μπορούν να ενεργοποιήσουν το AMSI, συνιστάται η αποσύνδεση του SharePoint Server από το διαδίκτυο μέχρι να είναι διαθέσιμη μια ενημέρωση ασφαλείας. Για επιπλέον προστασία, προτείνεται η ανάπτυξη του Defender for Endpoint για την ανίχνευση και αποκλεισμό δραστηριοτήτων μετά την εκμετάλλευση.

Η αλυσίδα εκμετάλλευσης και οι επιπτώσεις

Η αποκάλυψη έρχεται καθώς οι Eye Security και Palo Alto Networks Unit 42 προειδοποίησαν για επιθέσεις που συνδυάζουν τις CVE-2025-49706 και CVE-2025-49704 (με CVSS βαθμολογία 8.8), μια ευπάθεια εισαγωγής κώδικα στο SharePoint, για τη διευκόλυνση της αυθαίρετης εκτέλεσης εντολών σε ευάλωτες εγκαταστάσεις. Η αλυσίδα εκμετάλλευσης έχει κωδικοποιηθεί ως ToolShell. Δεδομένου ότι η CVE-2025-53770 είναι “παραλλαγή” της CVE-2025-49706, υποψιάζεται ότι αυτές οι επιθέσεις συνδέονται.

Η κακόβουλη δραστηριότητα περιλαμβάνει την παράδοση φορτίων ASPX μέσω PowerShell, που στη συνέχεια χρησιμοποιείται για την κλοπή της διαμόρφωσης MachineKey του διακομιστή SharePoint, συμπεριλαμβανομένων των ValidationKey και DecryptionKey, για τη διατήρηση επίμονης πρόσβασης.

Οι επιπτώσεις της επίθεσης και οι ενέργειες των εταιρειών

Η ολλανδική εταιρεία κυβερνοασφάλειας ανέφερε ότι αυτά τα κλειδιά είναι κρίσιμα για τη δημιουργία έγκυρων φορτίων __VIEWSTATE, και ότι η πρόσβαση σε αυτά ουσιαστικά μετατρέπει οποιοδήποτε αυθεντικοποιημένο αίτημα SharePoint σε ευκαιρία απομακρυσμένης εκτέλεσης κώδικα. “Εξακολουθούμε να εντοπίζουμε κύματα μαζικής εκμετάλλευσης,” δήλωσε ο CTO της Eye Security, Piet Kerkhofs, στο The Hacker News. “Αυτό θα έχει τεράστιο αντίκτυπο καθώς οι αντίπαλοι κινούνται πλευρικά χρησιμοποιώντας αυτήν την απομακρυσμένη εκτέλεση κώδικα με ταχύτητα.”

“Ειδοποιήσαμε σχεδόν 75 οργανισμούς που παραβιάστηκαν, καθώς εντοπίσαμε το κακόβουλο web shell στους διακομιστές SharePoint τους. Σε αυτή την ομάδα περιλαμβάνονται μεγάλες εταιρείες και μεγάλοι κυβερνητικοί φορείς παγκοσμίως.” Αξίζει να σημειωθεί ότι η Microsoft δεν έχει ακόμη ενημερώσει τις συμβουλευτικές της ανακοινώσεις για τις CVE-2025-49706 και CVE-2025-49704 για να αντικατοπτρίζουν την ενεργή εκμετάλλευση. Έχουμε επίσης επικοινωνήσει με την εταιρεία για περαιτέρω διευκρινίσεις και θα ενημερώσουμε την ιστορία αν λάβουμε απάντηση.

(Η ιστορία βρίσκεται σε εξέλιξη. Παρακαλούμε ελέγξτε ξανά για περισσότερες λεπτομέρειες.)

Advertisement