Масштабная атака на Microsoft SharePoint: взлом тысяч серверов в инфраструктуре компаний и госорганов

Крупная волна кибератак захватила организации по всему миру из-за критической уязвимости в Microsoft SharePoint Server. Уязвимость CVE-2025-53770 позволяет удалённое выполнение кода и используется в активной фазе целевых атак на госучреждения, университеты, телеком и энергетические компании, а также частные предприятия в разных странах.

Уязвимость CVE-2025-53770 связана с десериализацией недоверенных данных в локально установленных (on-premises) версиях SharePoint Server, что позволяет злоумышленникам удалённо запускать произвольный код.

Атака классифицируется как zero-day — её начали использовать до выхода патча.

Подтверждённые цели: органы власти США, телеком-компании в Азии, энергетика, университеты и предприятия. Общее число скомпрометированных серверов может достигать десятков тысяч.

Атака строится на цепочке уязвимостей, включающей:

Обход аутентификации (связан с CVE-2025-49706),

Инъекцию кода (вариант CVE-2025-49704).

Этот эксплойт, получивший название ToolShell, был впервые представлен исследователями из Viettel Cyber Security на соревновании Pwn2Own в мае 2025 года.

Первый шаг атаки использует уязвимость в обработке HTTP-заголовков. Злоумышленник отправляет POST-запрос к:

...с поддельным заголовком:

Этот Referer заставляет SharePoint принять запрос как аутентифицированный. Это позволяет перейти к следующему этапу без необходимости в логине, MFA или SSO.

Следующий этап атаки — передача вредоносно сериализованных .NET-объектов в теле запроса. Сервис ToolPane на сервере десериализует полученные данные без достаточной валидации и авторизации, что открывает возможность для инъекции произвольного кода.

Эксплойт позволяет загрузить .ASPX-файл spinstall0.aspx , который:

Не имеет интерактивного интерфейса.

Не вызывает очевидных