Korisnici Microsofta ponovno su napadnuti. Ovaj put prijetnja nije ograničena na korisnike Outlooka niti uključuje sigurnosno zaobilaženje temeljeno na pregledniku sustava Windows, a za razliku od nedavne ranjivosti napada releja za autentifikaciju sustava Windows, ne postoji zakrpa, niti čarobno ažuriranje koje bi to riješilo. Što su loše vijesti za korisnike Microsoft SharePoint Servera, jer je CVE-2025-53770 trenutno pod potvrđenim "masovnim napadom" i lokalni poslužitelji diljem svijeta su ugroženi. Evo što trebate znati i učiniti.
Prošlo je dosta tjedana za sigurnosna upozorenja, s obzirom na to da je Amazon obavijestio 220 milijuna korisnika o napadima na Prime račune i da su tvrdnje o masovnom hakiranju Ring zvona postale viralne. Prvo od njih može se ublažiti osnovnom sigurnosnom higijenom, a drugo se čini lažnom uzbunom. Isto se ne može reći za CVE-2025-53770, novootkriveni i potvrđeni napad na korisnike SharePoint Servera koji trenutno prolazi kroz masovnu eksploataciju na globalnoj razini, prema stručnjacima Eye Security koji su ga otkrili. Microsoft je, u međuvremenu, priznao da ne samo da je „svjestan aktivnih napada“, već, zabrinjavajuće, „trenutno nije dostupna zakrpa za ovu ranjivost“.
CVE-2025-53770, koja se naziva i ToolShell, kritična je ranjivost u lokalnom SharePointu. Krajnji rezultat je mogućnost napadača da dobiju pristup i kontrolu nad navedenim poslužiteljima bez provjere autentičnosti. Ako to zvuči loše, to je zato što jest. Zaista vrlo loše, piše Forbes.
„Rizik nije teoretski“, upozorili su istraživači, „napadači mogu izvršavati kod na daljinu, zaobilazeći zaštitu identiteta kao što su MFA ili SSO.“ Nakon što to učine, mogu „pristupiti svim SharePoint sadržajima, sistemskim datotekama i konfiguracijama te se kretati bočno kroz Windows domenu.“
A tu je i krađa kriptografskih ključeva. To može omogućiti napadaču da „lažno predstavlja korisnike ili usluge“, prema izvješću, „čak i nakon što je poslužitelj zakrpan“. Dakle, čak i kada se zakrpa konačno objavi, a očekivao bih da će hitno ažuriranje stići prilično brzo za ovu, problem nije riješen. Objašnjeno je da ćete „morati rotirati tajne podatke dopuštajući da svi budući tokeni koje može stvoriti zlonamjerni akter postanu nevažeći.“
I, naravno, budući da će se SharePoint često povezivati s drugim osnovnim uslugama, uključujući Outlook i Teams, oh, i ne zaboravljajući OneDrive, prijetnja, ako se iskoristi, može i hoće dovesti do „krađe podataka, prikupljanja lozinki i lateralnog kretanja po mreži“, upozorili su istraživači.
Ublažavanje napada na Microsoft SharePoint Server
Iako je Microsoftov centar za sigurnosne odgovore izjavio da „aktivno radi na izdavanju sigurnosnog ažuriranja“ i da će „pružiti dodatne detalje čim budu dostupni“, u trenutku pisanja ovog teksta nema zakrpe. U međuvremenu, savjetovali su korisnicima da primijene sljedeće mjere ublažavanja:
Konfigurirajte integraciju Antimalware Scan Interface u SharePointu i implementirajte Defender AV na svim SharePoint poslužiteljima. „Ako ne možete omogućiti AMSI“, rekao je Microsoft, „preporučujemo da razmislite o isključivanju poslužitelja s interneta dok ne bude dostupno sigurnosno ažuriranje.“
