Microsoft выпустила срочные исправления безопасности для двух уязвимостей с нулевым днем, CVE-2025-53770 и CVE-2025-53771, влияя на Microsoft SharePoint. Эти недостатки активно эксплуатируются в атаках «инструментов» во всем мире, что влияет на более 54 организаций.
Уязвимости появились после того, как актеры угрозы обошли исправления, выпущенные в июльском патче во вторник. Эти первоначальные обновления были предназначены для обращения к цепочке уязвимости «инструментов», которая позволила выполнить удаленный код в Microsoft SharePoint, впервые продемонстрированную на конкурсе PWN2own в Берлине в мае.
Microsoft быстро выпустила внеполосные обновления безопасности для подписки Microsoft SharePoint и SharePoint 2019, чтобы смягчить CVE-2025-53770 и CVE-2025-53771. Компания подтвердила, что эти новые обновления предлагают «более надежную защиту» по сравнению с предыдущими исправлениями для CVE-2025-49704 и CVE-2025-49706 соответственно. Обновление для Microsoft SharePoint Enterprise Server 2016 все еще находится на рассмотрении.
Администраторам SharePoint настоятельно рекомендуется немедленно установить эти критические обновления: KB5002754 для Microsoft SharePoint Server 2019 и KB5002768 для подписки Microsoft SharePoint.
Помимо применения патчей, Microsoft призывает администраторов повернуть свои клавиши машины SharePoint. Это можно сделать вручную с помощью PowerShell, используя Update-SPMachineKey Комплект или через центральный администратор, запуская задание на таймер «задание вращения машины». После ротации IIS сброс (iisreset.exeРекомендуется на всех серверах SharePoint.
Администраторы также должны провести тщательный анализ своих журналов и файловых систем для признаков компромисса или попыток эксплуатации. Ключевые индикаторы включают создание файла C:PROGRA~1COMMON~1MICROS~1WEBSER~116TEMPLATELAYOUTSspinstall0.aspxи IIS журналы, показывающие запрос сообщения на _layouts/15/ToolPane.aspx?DisplayMode=Edit&a=/ToolPane.aspx с реферателем HTTP _layouts/SignOut.aspxПолем
Microsoft предоставила запрос Defender Microsoft 365, чтобы помочь обнаружить наличие spinstall0.aspx файл:
DeviceFileEvents
| where FolderPath has "MICROS~1\WEBSER~1\16\TEMPLATE\LAYOUTS"
| where FileName =~ "spinstall0.aspx"
or FileName has "spinstall0"
| project Timestamp, DeviceName, InitiatingProcessFileName, InitiatingProcessCommandLine, FileName, FolderPath, ReportId, ActionType, SHA256
| order by Timestamp desc
Если этот файл найден, комплексное расследование пострадавшего сервера и сети имеет решающее значение для обеспечения того, чтобы субъекты угроз не расширили свой доступ к другим устройствам.
