Масштабная атака на Microsoft SharePoint: взлом тысяч серверов в инфраструктуре компаний и госорганов
habr.comКрупная волна кибератак захватила организации по всему миру из-за критической уязвимости в Microsoft SharePoint Server. Уязвимость CVE-2025-53770 позволяет удалённое выполнение кода и используется в активной фазе целевых атак на госучреждения, университеты, телеком и энергетические компании, а также частные предприятия в разных странах.Уязвимость CVE-2025-53770 связана с десериализацией недоверенных данных в локально установленных (on-premises) версиях SharePoint Server, что позволяет злоумышленникам удалённо запускать произвольный код.Атака классифицируется как zero-day — её начали использовать до выхода патча.Подтверждённые цели: органы власти США, телеком-компании в Азии, энергетика, университеты и предприятия.
Общее число скомпрометированных серверов может достигать десятков тысяч.Атака строится на цепочке уязвимостей, включающей:Обход аутентификации (связан с CVE-2025-49706),Инъекцию кода (вариант CVE-2025-49704).Этот эксплойт, получивший название ToolShell, был впервые представлен исследователями из Viettel Cyber Security на соревновании Pwn2Own в мае 2025 года.Первый шаг атаки использует уязвимость в обработке HTTP-заголовков.
