A globális hackelési kampány egy kritikus nulla napos hibát (CVE-2025-53770) használ ki a Microsoft helyszíni SharePoint szoftverében, a támadások a kémkedésről a ransomware-re növekszenek. Először július 7-én észlelték, hogy a jogsértés több mint 400 szervezetet érint, köztük a . Belbiztonsági Tanszék . A Microsoft július 21-én kiadta a sürgősségi javításokat, és sürgeti az ügyfeleket, hogy azonnal frissítsék. A nyilvános kizsákmányolás most elérhető , a széles körben elterjedt, automatikus támadások fenyegetése a gurult rendszerek ellen, a globális kampányok ellen, a globális kampányok elleni, a globális kampányok elleni, a gv. A
Microsoft és a Google mandiantja a kezdeti támadásokat több kínai állam által támogatott fenyegető szereplőnek tulajdonította. Egy részletes jelentésben a Microsoft azonosított két létrehozott csoportot, linen-typhoon-t és ioliai typhoon-t. entitás, vihar-2603 , mint elsődleges bűnös. Charles Carmakal, a Mandiant Consulting CTO kijelentette: „Értékeljük, hogy a korai kizsákmányolásért felelős szereplők legalább egy Kína-Nexus fenyegetés színésze”, és hozzáteszi, hogy a helyzet gyorsan fejlődik. Ez a hozzárendelés jelentős geopolitikai dimenziót ad, és a Microsoft termékek korábbi fő hackjeit visszatükrözi Kínában is.
A kínai kormány határozottan tagadta ezeket az állításokat. A kínai külügyminisztérium szóvivője, Guo Jiakun nyilatkozatában kijelentette: „Kína a törvénynek megfelelően ellenzi és harcol a hackelési tevékenységekkel. Ugyanakkor ellenzi a keneteket és a Kína elleni támadásokat a kiberbiztonsági kérdések mentese alapján”, és visszahúzza a Microsoft és az Egyesült Államok tisztviselői ellen. Bypass
A „Toolshell”-nek nevezett sebezhetőség a „Patch bypass” klasszikus példája. A biztonsági kutatók úgy vélik, hogy a támadók a „Patch Diffing”-t használták a Microsoft júliusi biztonsági frissítésének elemzésére, amely rögzített egy kapcsolódó hibát (CVE-2025-49706). Ez a technika lehetővé tette számukra, hogy gyorsan megtervezzék egy új kizsákmányolást, amely megkerüli az eredeti javítást.
A támadás veszélyesen lopakodó. Ahelyett, hogy egy tipikus WebShell-et telepítené, a támadók egy kis szkriptet ültetnek a exfiltrátusnak a kiszolgáló kriptográfiai gépi kulcsának exfiltratálására. Ez a módszer sokkal tartósabb és veszélyesebb hozzáférési formát biztosít. Ahogy a Eye Security kutatócsoportja figyelmezteti: „Ezek a kulcsok lehetővé teszik a támadók számára, hogy megszemélyesítsék a felhasználókat vagy szolgáltatásokat, még a szerver javítása után is. Tehát a javítás önmagában nem oldja meg a problémát. Az új javítás egyszerű alkalmazása nem elég ahhoz, hogy kilakoltatják a támadókat, akik már megsértették a szerveret. A szervezeteknek el kell forgatniuk az ASP.NET gépi kulcsokat is, hogy érvénytelenítsék az ellopott hitelesítő adatokat, és . A helyzet azonban pusztítóbb fordulatot vett fel. A Microsoft július 23-án megerősítette, hogy a Storm-2603 csoport most a “_ üres”>”_ üres”>”_ üres”című csoportot használja. Ransomware . A koncepció bizonyítékának kiaknázása a GitHub-on tovább demokratizálja a támadást, így hozzáférhetővé teszi a kevésbé kifinomult számítógépes bűnözők számára. href=”https://www.eye.security/press/eye-security-detects-large-scale-exploitation-of-kritikus-Microsoft-sharePoint-vulnerabilitás”Target=”_ üres”> Legalább 400 cég, a kiberbiztonsági cég szembiztonságának megfelelően. Vaisha Bernard, a cég fő hackere úgy véli, hogy a valódi szám még magasabb, megjegyezve: „Sokkal több, mert nem minden támadási vektor hagyott olyan tárgyakat, amelyekre be tudnánk szkennelni.”
Microsoft és Cisa Scramble, hogy tartalmazzák a Fallout
-et. Miután az eredetileg enyhítő útmutatást nyújtott, a Microsoft július 21-én kiadta az összes érintett SharePoint verzió sürgősségi biztonsági frissítéseit. A vállalat fenyegető hírszerzési osztálya figyelmeztette: „Ezen kizsákmányolások gyors elfogadásával a Microsoft nagy bizalommal értékeli, hogy a fenyegetés szereplői továbbra is integrálják őket támadásukba az Unpatched On Preams Security rendszerek ellen.” Hozzáadott CVE-2025-53770-hez. (KEV) katalógus . Az ügynökség kötelező érvényű irányelvet bocsátott ki, amelyben az összes szövetségi polgári ügynökséget elrendelte a Microsoft javításainak és kármentesítési lépéseinek alkalmazására. A Belbiztonsági Minisztérium megsértése és a Nemzeti Nukleáris Biztonsági Igazgatóság Nemzetközi. Ez az esemény emlékeztet más nagy SharePoint biztonsági válságokra, ideértve a kritikus kizsákmányolásokat 2024 végén.