อัปเดต: 21 กรกฎาคม 2025, 10:12 CEST -Microsoft ได้เปิดตัวการอัปเดตความปลอดภัยเพื่อจัดการกับช่องโหว่ที่สำคัญของ SharePoint CVE-20125-53770 ที่สำคัญ ตาม การอัปเดตสำหรับ SharePoint 2016 ยังอยู่ในระหว่างการพัฒนา Microsoft เรียกร้องให้ลูกค้าในเวอร์ชันที่รองรับเพื่อใช้การอัปเดตที่เกี่ยวข้องทันทีเพื่อปกป้องระบบของพวกเขา
Microsoft ได้เปิดตัวการอัปเดตความปลอดภัยที่ปกป้องลูกค้าอย่างเต็มที่โดยใช้ SharePoint Subcription Edition และ SharePoint 2019 ต่อความเสี่ยงที่เกิดจาก CVE-20125-53770 และ CVE-20125-53771 ช่องโหว่เหล่านี้ใช้กับเซิร์ฟเวอร์ SharePoint ในสถานที่เท่านั้น ลูกค้าควรใช้…
การใช้งานที่สำคัญ ข้อบกพร่องที่ระบุว่าเป็น CVE-20125-53770 ได้ทำลายหน่วยงานของรัฐบาลกลางและรัฐในสหรัฐอเมริกามหาวิทยาลัยและธุรกิจ
สิ่งนี้ทำให้ผู้โจมตีสามารถติดตั้งแบ็คดอร์และขโมยกุญแจเข้ารหัส ข้อบกพร่องส่งผลกระทบต่อ SharePoint Server 2016, 2019 และฉบับการสมัครสมาชิก Microsoft ได้ยืนยันว่าลูกค้า SharePoint Online ไม่ได้รับผลกระทบจากช่องโหว่นี้
แคมเปญทั่วโลกใช้ประโยชน์จากข้อบกพร่องที่ไม่ได้จับเพื่อขโมยคีย์เซิร์ฟเวอร์
แคมเปญต่อเนื่องไม่ได้ปรับใช้มัลแวร์ทั่วไป แต่ผู้โจมตีใช้วิธีการหลบซ่อนตัวเพื่อควบคุมอย่างต่อเนื่อง ความปลอดภัยของ บริษัท รักษาความปลอดภัยซึ่งตรวจพบการเอารัดเอาเปรียบที่ใช้งานอยู่เป็นครั้งแรกรายงานว่าผู้โจมตีคือ การปลูกไฟล์ spinstall0.aspx คีย์เหล่านี้เป็นความลับที่สำคัญที่เซิร์ฟเวอร์ใช้เพื่อตรวจสอบและถอดรหัสข้อมูลเซสชัน ดังที่การรักษาความปลอดภัยของดวงตากล่าวว่า“ นี่ไม่ใช่เว็บเชลล์ทั่วไปของคุณไม่มีคำสั่งแบบโต้ตอบเปลือกย้อนกลับหรือตรรกะคำสั่งและการควบคุม”
โดยการขโมยกุญแจเหล่านี้ผู้โจมตีมีข้อมูลรับรองหลักสำหรับการจัดการรัฐของ SharePoint Farm สิ่งนี้ช่วยให้พวกเขาสามารถสร้าง payloads `__viewstate` ที่ถูกต้องเปลี่ยนคำขอที่ได้รับการรับรองความถูกต้องใด ๆ ให้กลายเป็นเวกเตอร์การดำเนินการรหัสระยะไกลที่อาจเกิดขึ้นตามรายละเอียดโดยนักวิจัยด้านความปลอดภัย
การเข้าถึงระดับนี้มีความคงทนมากกว่าเว็บเชลล์ง่าย ๆ ความปลอดภัยของดวงตาเตือนว่า“ กุญแจเหล่านี้อนุญาตให้ผู้โจมตีเลียนแบบผู้ใช้หรือบริการแม้หลังจากเซิร์ฟเวอร์ได้รับการแก้ไขดังนั้นการแก้ไขเพียงอย่างเดียวไม่สามารถแก้ปัญหาได้…” โดยเน้นถึงความจำเป็นในการแก้ไขทันทีและอย่างละเอียด ข้อบกพร่อง, CVE-2025-49706 ช่องโหว่นั้นเป็นส่วนหนึ่งของห่วงโซ่การโจมตีที่เรียกว่า”Toolshell”แสดงให้เห็นในการประกวด PWN2OWN ในเดือนพฤษภาคม 2568 และ ต่อมาได้รับการแก้ไขโดย Microsoft ในการอัพเดทความปลอดภัยเดือนกรกฎาคม .
ความเร็วที่ศูนย์วันนี้เกิดขึ้นโดยเฉพาะอย่างยิ่ง หลังจาก Microsoft แก้ไขข้อบกพร่อง“ Toolshell” เริ่มต้นแล้วนักแสดงภัยคุกคามน่าจะทำการวิเคราะห์“ Patch Diffing” เทคนิคทั่วไปนี้เกี่ยวข้องกับการเปรียบเทียบรหัสก่อนแพทช์และโพสต์แพทช์เพื่อระบุการเปลี่ยนแปลงที่แน่นอนที่ทำโดยนักพัฒนา
โดยการระบุการแก้ไขผู้โจมตีสามารถค้นหาเส้นทางรหัสทางเลือกหรือข้อบกพร่องด้านตรรกะที่ได้ผลลัพธ์เดียวกัน อาวุธอย่างรวดเร็วนี้ตอกย้ำลักษณะที่ซับซ้อนของกลุ่มที่กำหนดเป้าหมายซอฟต์แวร์องค์กร
เหตุการณ์ที่เกิดขึ้นเป็นเครื่องเตือนใจอย่างสิ้นเชิงถึงความท้าทายด้านความปลอดภัยที่องค์กรที่จัดการโครงสร้างพื้นฐานในสถานที่ แม้จะมีการแก้ไขปกติตามที่เห็นด้วยการหาประโยชน์จาก SharePoint ก่อนหน้านี้ในช่วงปลายปี 2024 ผู้โจมตีที่มุ่งมั่นสามารถค้นหาและใช้ประโยชน์จากช่องว่างใหม่ในระบบที่ซับซ้อน
Microsoft ออกการลดปัญหาอย่างเร่งด่วนในขณะที่ CISA กำหนดเส้นตาย
href=”https://msrc.microsoft.com/blog/2025/07/customer-guidance-for-harepoint-vulnerability-cve-2025-53770/”target=”_ blank”> คำแนะนำลูกค้าเร่งด่วนที่เผยแพร่ เนื่องจากแพตช์ยังไม่พร้อม บริษัท จึงให้คำแนะนำแก่ผู้ดูแลระบบให้ใช้มาตรการป้องกันทันที การป้องกันเบื้องต้นคือการเปิดใช้งานอินเตอร์เฟสสแกน Antimalware (AMSI)
สิ่งนี้มีความสำคัญเนื่องจากให้การมองเห็นแบบเรียลไทม์ในการดำเนินการสคริปต์ โซลูชันป้องกันไวรัสที่เปิดใช้งาน AMSI เช่น Microsoft Defender สามารถตรวจสอบเนื้อหาของคำขอก่อนที่จะถูกประมวลผลโดย SharePoint บล็อกการหาประโยชน์ อย่างไรก็ตามสิ่งนี้ไม่เพียงพอสำหรับระบบที่ถูกคอมไพล์แล้ว
Microsoft เน้นว่าการหมุนปุ่มเครื่อง ASP.NET เป็นขั้นตอนที่สองที่สำคัญ ขั้นตอนนี้สร้างคีย์เข้ารหัสใหม่และทำให้การล็อคผู้โจมตีที่ถูกขโมยไปแล้ว หลังจากการหมุนที่สำคัญจำเป็นต้องมีการรีสตาร์ทบริการ IIS เต็มรูปแบบเพื่อให้แน่ใจว่ามีการโหลดคีย์ใหม่
การรักษาความปลอดภัยทางไซเบอร์และความปลอดภัยของโครงสร้างพื้นฐานในสหรัฐอเมริกา (CISA) ได้เพิ่ม CVE-20125-53770 เป็น