Pembaruan: 21 Juli 2025, 10:12 CEST -Microsoft kini telah merilis pembaruan keamanan untuk mengatasi kerentanan SharePoint yang kritis CVE-2025-53770. According to its updated guidance, patches are now available for both SharePoint Subscription Edition and SharePoint 2019 . Pembaruan untuk SharePoint 2016 masih dalam pengembangan. Microsoft mendesak pelanggan pada versi yang didukung untuk menerapkan pembaruan yang relevan segera untuk melindungi sistem mereka.
Microsoft telah merilis pembaruan keamanan yang sepenuhnya melindungi pelanggan menggunakan edisi berlangganan SharePoint dan SharePoint 2019 terhadap risiko yang ditimbulkan oleh CVE-2025-53770, dan CVE-2025-53771. Kerentanan ini hanya berlaku untuk server SharePoint di tempat. Pelanggan harus mendaftar…
-Respons Keamanan (@msftsecResponse)
panduan mitigasi , tidak ada patch adalah. Kerentanan memungkinkan eksekusi kode jarak jauh yang tidak autentikasi, meninggalkan puluhan ribu server yang berisiko.
Ini memungkinkan penyerang untuk memasang backdoors dan mencuri kunci kriptografi, memberikannya kontrol penuh. Cacat itu berdampak pada SharePoint Server 2016, 2019, dan edisi berlangganan. Microsoft telah mengkonfirmasi bahwa pelanggan online SharePoint tidak terpengaruh oleh kerentanan ini.
Kampanye global mengeksploitasi cacat yang tidak ditandingi untuk mencuri kunci server
Kampanye yang sedang berlangsung tidak menggunakan malware tipikal. Sebaliknya, penyerang menggunakan pendekatan tersembunyi untuk mendapatkan kontrol yang persisten. Firma Keamanan Eye Security, yang pertama kali mendeteksi eksploitasi aktif, melaporkan bahwa penyerang adalah menanam file spinstall0.aspx pada server yang dikompromikan
p> p> p> p> p> p> p> p> sole TUJUAN THE IS ON COMPROMISED COMPROMISE Kunci-kunci ini adalah rahasia penting yang digunakan oleh server untuk memvalidasi dan mendekripsi data sesi. Seperti yang dicatat oleh Eye Security,”Ini bukan webshell khas Anda. Tidak ada perintah interaktif, cangkang terbalik, atau logika perintah-dan-kontrol.”
Dengan mencuri kunci-kunci ini, penyerang secara efektif memiliki kredensial utama untuk manajemen negara bagian SharePoint Farm. Hal ini memungkinkan mereka untuk menghasilkan muatan `__viewState` yang valid, mengubah permintaan yang diautentikasi menjadi vektor eksekusi kode jarak jauh potensial, sebagaimana dirinci oleh peneliti keamanan.
Tingkat akses ini jauh lebih persisten daripada webshell sederhana. Keamanan Mata memperingatkan, “Kunci-kunci ini memungkinkan penyerang untuk menyamar sebagai pengguna atau layanan, bahkan setelah server ditambal. Jadi penambalan sendiri tidak menyelesaikan masalah…”, menyoroti perlunya remediasi langsung dan menyeluruh.
varian dari variant yang baru-baru ini, Cve-baru-baru. cacat yang diungkapkan, CVE-2025-49706. Kerentanan itu adalah bagian dari rantai serangan yang disebut”Toolshell,”ditunjukkan pada kontes PWN2Own pada Mei 2025 dan Selanjutnya ditambal oleh Microsoft dalam pembaruan keamanan Juli .
Kecepatan di mana hari nol ini muncul sangat memprihatinkan. Setelah Microsoft menambal kelemahan”toolshell”awal, aktor ancaman kemungkinan melakukan analisis”patch berbeda”. Teknik umum ini melibatkan membandingkan kode pre-patch dan pasca-patch untuk menentukan perubahan yang dilakukan oleh pengembang.
Dengan mengidentifikasi perbaikan, penyerang dapat mencari jalur kode alternatif atau cacat logika yang mencapai hasil yang sama, secara efektif memintas tambalan. Senjata cepat ini menggarisbawahi sifat canggih dari kelompok yang menargetkan perangkat lunak perusahaan.
Insiden ini berfungsi sebagai pengingat tantangan keamanan yang dihadapi organisasi yang mengelola infrastruktur di tempat. Even with regular patching, as seen with a previous SharePoint exploit in late 2024, determined attackers can find and exploit new gaps in complex systems.
Microsoft Issues Urgent Mitigation as CISA Sets Deadline
In response to the active attacks, Microsoft has panduan pelanggan mendesak yang diterbitkan . Karena tambalan belum siap, perusahaan menasihati administrator untuk mengambil tindakan defensif segera. Pertahanan utama memungkinkan Antimalware Scan Interface (AMSI).
Ini sangat penting karena memberikan visibilitas waktu nyata ke dalam eksekusi skrip. Solusi antivirus yang diaktifkan AMSI, seperti Microsoft Defender, dapat memeriksa konten permintaan sebelum diproses oleh SharePoint, memblokir eksploitasi. Namun, ini tidak cukup untuk sistem yang sudah dikompromikan.
Microsoft menekankan bahwa memutar tombol mesin ASP.NET adalah langkah kedua yang kritis. Prosedur ini menghasilkan kunci kriptografi baru dan membatalkan yang lama, secara efektif mengunci penyerang yang telah mencuri mereka. Setelah rotasi kunci, restart penuh dari layanan IIS diperlukan untuk memastikan kunci baru dimuat.
Badan Keamanan Cybersecurity dan Infrastruktur AS (CISA) telah menambahkan CVE-2025-53770 ke dalam
diketahui. The agency has issued a directive requiring all federal civilian agencies to apply Microsoft’s mitigations by July 21, 2025, signaling the severity of the threat. This incident also brings to mind other security issues in the SharePoint ecosystem, such as the 2025 hijacking of a legacy Microsoft Stream domain that injected casino spam into SharePoint sites, further illustrating the platform’s large and varied attack permukaan.