Η Microsoft SharePoint μηδενική ημέρα κλιμακώνεται στο ransomware, που επηρεάζεται το Τμήμα Εσωτερικής Ασφάλειας

Μια παγκόσμια εκστρατεία hacking εκμεταλλεύεται ένα κρίσιμο ελάττωμα μηδενικής ημέρας (CVE-2025-53770) στο λογισμικό της Microsoft στο SharePoint, με επιθέσεις να κλιμακώνονται από την κατασκοπεία σε ransomware. Πρώτα ανιχνεύθηκε γύρω στις 7 Ιουλίου, η παραβίαση έχει επηρεάσει πάνω από 400 οργανισμούς, συμπεριλαμβανομένου του Οι δημόσιοι εκμεταλλευόμενοι που είναι τώρα διαθέσιμοι , η απειλή των εκτεταμένων, αυτοματοποιημένων επιθέσεων ενάντια στα συστήματα που δεν ασχολούνται με τα συστήματα δεν είναι γρήγορα διαθέσιμα.

Η Microsoft και η Mandiant της Google απέδωσαν τις αρχικές επιθέσεις σε πολλούς κινέζους ηθοποιούς απειλής που χρηματοδοτούνται από το κράτος. Σε μια λεπτομερή αναφορά, η Microsoft Οντότητα, Storm-2603 , ως πρωταρχικοί ένοχοι. Ο Charles Carmakal, CTO της Mandiant Consulting, δήλωσε:”Εκτιμούμε ότι τουλάχιστον ένας από τους ηθοποιούς που είναι υπεύθυνοι για αυτή την πρώιμη εκμετάλλευση είναι ένας ηθοποιός απειλής της Κίνας-Εξουσίας”, προσθέτοντας ότι η κατάσταση εξελίσσεται ταχέως. Αυτή η απόδοση προσθέτει μια σημαντική γεωπολιτική διάσταση, αντανακλώντας τις προηγούμενες μεγάλες αμυχές των προϊόντων της Microsoft, επίσης, κατηγορούνται για την Κίνα. Η κινεζική κυβέρνηση έχει αρνηθεί σταθερά αυτούς τους ισχυρισμούς. Σε δήλωση, ο εκπρόσωπος του κινεζικού υπουργείου Εξωτερικών, Guo Jiakun, δήλωσε:”Η Κίνα αντιτίθεται και καταπολεμά τις δραστηριότητες πειρατείας σύμφωνα με το νόμο. Bypass

Η ευπάθεια, που ονομάζεται”Toolshell”, είναι ένα κλασικό παράδειγμα μιας”παράκαμψης patch”. Οι ερευνητές της ασφάλειας πιστεύουν ότι οι επιτιθέμενοι χρησιμοποίησαν”διαφορά patch”για να αναλύσουν την ενημερωμένη έκδοση του Ιουλίου της Microsoft, την οποία Σταθερό FLAW (CVE-2025-49706) . Αυτή η τεχνική τους επέτρεψε να σχεδιάσουν γρήγορα μια νέα εκμετάλλευση που παρακάμπτει την αρχική επιδιόρθωση.

Η ίδια η επίθεση είναι επικίνδυνα μυστική. Αντί να αναπτύξουν ένα τυπικό webshell, οι επιτιθέμενοι φυτεύουν ένα μικρό σενάριο σε Αυτή η μέθοδος παρέχει μια πολύ πιο επίμονη και επικίνδυνη μορφή πρόσβασης. Όπως προειδοποιεί η ερευνητική ομάδα στο Eye Security,”αυτά τα κλειδιά επιτρέπουν στους επιτιθέμενους να μιμούνται χρήστες ή υπηρεσίες, ακόμη και μετά την αποκατάσταση του διακομιστή. Η απλή εφαρμογή του νέου κώδικα δεν αρκεί για να εκδιώξει τους επιτιθέμενους που έχουν ήδη παραβιάσει έναν διακομιστή. Οι οργανισμοί πρέπει επίσης να περιστρέψουν τα πλήκτρα μηχανής ASP.NET για να ακυρώσουν τα κλεμμένα διαπιστευτήρια και το

Ωστόσο, η κατάσταση έχει πάρει μια πιο καταστροφική στροφή. Η Microsoft επιβεβαίωσε στις 23 Ιουλίου ότι η ομάδα Storm-2603 χρησιμοποιεί τώρα την εκμετάλλευση σε

href=”https://www.eye.security/press/eye-security-detects-large-scale-exploitation-of-critical-microsoft-sharepoint-vulnerability”target=”_ blank”> Ο Vaisha Bernard, ο επικεφαλής χάκερ της εταιρείας, πιστεύει ότι ο αληθινός αριθμός είναι ακόμη υψηλότερος, σημειώνοντας:”Υπάρχουν πολλά άλλα, επειδή όλοι οι φορείς επίθεσης έχουν αφήσει τα αντικείμενα που θα μπορούσαμε να σαρώσουμε μια απάντηση σε μια απάντηση και στις αρχές του Microsoft και στις αρχές των Us./H3>. Μετά την αρχική παροχή καθοδήγησης μετριασμού, η Microsoft κυκλοφόρησε τις ενημερώσεις ασφαλείας έκτακτης ανάγκης για όλες τις προσβεβλημένες εκδόσεις του SharePoint στις 21 Ιουλίου. Η Διεύθυνση Πληροφοριών της Εταιρείας προειδοποίησε:”Με την ταχεία υιοθέτηση αυτών των εκμεταλλεύσεων και της Microsoft αξιολογεί με υψηλή εμπιστοσύνη ότι οι ηθοποιοί απειλών θα συνεχίσουν να τις ενσωματώνουν στις επιθέσεις τους ενάντια στις απλήρωτες υπηρεσίες sharepoint. (CISA) Εθνική διαχείριση της ασφάλειας πυρήνων <Αυτή η εκδήλωση υπενθυμίζει άλλες σημαντικές κρίσεις ασφαλείας του SharePoint, συμπεριλαμβανομένων των κριτικών εκμεταλλεύσεων στα τέλη του 2024.