„Microsoft“ išleido avarinį „SharePoint“ saugos atnaujinimus, skirtus dviejų nulinės dienos pažeidžiamumų, stebimų kaip CVE-2025-53770 ir CVE-2025-53771, kurie visame pasaulyje pakenkė „Toolshell“ atakoms.
Gegužės mėn. Berlyno „Pwn2own“ įsilaužimo konkurso metu tyrėjai išnaudojo nulinės dienos pažeidžiamumo grandinę, vadinamą „Toolshell“, kuri leido jiems pasiekti nuotolinio kodo vykdymą „Microsoft SharePoint“.
Šie trūkumai buvo ištaisyti kaip liepos mėn. Pataisos antradienio atnaujinimų dalis; Tačiau grėsmės aktoriai sugebėjo atrasti du nulinės dienos pažeidžiamumus, kurie aplenkė „Microsoft“ pataisas ankstesniams trūkumams.
Naudodamiesi šiais trūkumais, grėsmės veikėjai vykdė įrankių išpuolius „SharePoint“ serveriuose visame pasaulyje, darydami įtaką daugiau nei 54 organizacijoms.
Išleisti avariniai atnaujinimai
„Microsoft“ dabar skubino „Microsoft SharePoint“ prenumeratos leidimo ir „SharePoint 2019“ ir „SharePoint 2019“ atnaujinimus, kurie nustato tiek CVE-2025-53770, tiek CVE-2025-53771 trūkumus.
„Microsoft“ vis dar dirba prie „SharePoints 2016“ pataisų ir jų dar nėra.
„Taip,„ CVE-2025-53770 “atnaujinimas apima tvirtesnę apsaugą nei atnaujinimas CVE-2025-49704. CVE-2025-53771 atnaujinimas apima tvirtesnę apsaugą nei CVE-2025-49706 atnaujinimas”,-skaito pastaba „Microsoft Advisories“.
„Microsoft SharePoint“ administratoriai turėtų nedelsdami įdiegti šiuos saugos atnaujinimus, atsižvelgiant į versiją:
- „Microsoft SharePoint Server 2019“ KB5002754 atnaujinimas.
- „Microsoft SharePoint“ prenumeratos leidimo „KB5002768“ atnaujinimas.
- „Microsoft SharePoint Enterprise Server 2016“ atnaujinimas dar nebuvo išleistas.
Įdiegę atnaujinimus, „Microsoft“ ragina administracijas pasukti „SharePoint Machine“ klavišus, naudodamas šiuos veiksmus:
„SharePoint“ administratoriai gali pasukti mašinos raktus naudodami vieną iš dviejų žemiau pateiktų metodų:
Rankiniu būdu per „PowerShell“
Norėdami atnaujinti mašinų klavišus naudodami „PowerShell“, naudokite „Update-SpmachineKey CMDLET“.
Rankiniu būdu per centrinį administratorių
Suaktyvinkite mašinos rakto pasukimo laikmačio užduotį atlikdami šiuos veiksmus:
- Eikite į Centrinė administracija svetainė.
- Eik į Stebėjimas -> Peržiūrėkite darbo apibrėžimą.
- Ieškoti Mašinos rakto rotacijos užduotis ir pasirinkite Bėk dabar.
- Pasibaigus rotacijai, Iš naujo paleiskite IIS Visuose „SharePoint“ serveriuose, naudojant „IisReset.exe“.
Taip pat patariama išanalizuoti savo žurnalų ir failų sistemą, ar nėra kenkėjiškų failų ar bandymų išnaudoti.
Tai apima:
- C: \ ProgrA ~ 1 \ Common ~ 1 \ Micros ~ 1 \ WebSer ~ 1 \ 16 \ 16 \ Template \ MATSOUT \ SpinStall0.aspx failas.
- IIS žurnalai, rodantys įrašo užklausą _Layouts/15/toolpane.aspx? DisplayMode = Edit & A =/Toolpane.aspx ir HTTP refereris iš _Layouts/sirpout.aspx.
„Microsoft“ pasidalino šia „Microsoft 365 Defender“ užklausa, norėdama patikrinti, ar jūsų serveryje buvo sukurtas „Spinstall0.aspx“ failas.
eviceFileEvents
| where FolderPath has "MICROS~1\\WEBSER~1\\16\\TEMPLATE\\LAYOUTS"
| where FileName =~ "spinstall0.aspx"
or FileName has "spinstall0"
| project Timestamp, DeviceName, InitiatingProcessFileName, InitiatingProcessCommandLine, FileName, FolderPath, ReportId, ActionType, SHA256
| order by Timestamp desc
Jei failas egzistuoja, tada pažeistame serveryje ir jūsų tinkle reikia atlikti išsamų tyrimą, kad būtų užtikrinta, jog grėsmės veikėjai neplinta kituose įrenginiuose.
CISOS žino, kad įsigyti lentą prasideda aiškus, strateginis vaizdas, kaip debesų saugumas skatina verslo vertę.
Šis nemokamas, redaguojamas valdybos ataskaitos denis padeda saugumo lyderiams aiškiai įvertinti riziką, poveikį ir prioritetus. Saugumo atnaujinimus paverskite prasmingais pokalbiais ir greitesniu sprendimų priėmimu posėdžių salėje.
