Vulnerabilitate critică de securitate cibernetică identificată la nivelul Microsoft Sharepoint

Sursa: dnsc.ro

CVE-2025-53770 este o vulnerabilitate de tip Remote Code Execution (RCE), clasificată cu un nivel critic de 9.8 conform Common Vulnerability Scoring System (CVSS), ce afectează mai multe versiuni de Microsoft SharePoint Server instalate local. Vulnerabilitatea poate fi exploatată fără autentificare de către un potențial atacator.

DETALII TEHNICE

Această problemă se bazează pe un mecanism de deserializare nesigură în modulul de procesare a unor parametri web, în special __VIEWSTATE. Atacatorii pot exploata această vulnerabilitate pentru a livra payload-uri dăunătoare în contextul aplicației, fără a necesita acces autentificat sau privilegii speciale.

1. Mecanismul de exploatare

• Atacatorul trimite un request către un endpoint vulnerabil al SharePoint (ex: /layouts/ToolPane.aspx) cu un fișier ASPX rău intenționat, ca parte dintr-un payload web shell.
• Acest payload (ex: spinstall0.aspx) este proiectat pentru a extrage cheile criptografice ale serverului:
  • MachineKey.DecryptionKey
  • MachineKey.ValidationKey
• Odată obținute aceste chei, atacatorul poate:
  • Genera un payload __VIEWSTATE semnat și criptat valid.
  • Exploata mecanismul de deserializare a conținutului __VIEWSTATE pentru a executa cod .NET arbitrar pe server.
• Deși __VIEWSTATE este în mod normal semnat și criptat, atacatorul, având cheia de semnare, poate introduce un obiect .NET periculos serializat, care, în timpul deserializării de către server, va duce la execuție de cod.

2. Persistență și Shell-uri

    După exploatarea inițială, atacatorul:

• Instalează web shell-uri persistente (ex: toolshell.aspx, spinstaller.aspx) în directoarele publice.
• Configurează backdoor-uri prin conturi SharePoint sau rulează PowerShell pentru a încărca și executa payload-uri suplimentare.

3. MachineKey – impact post-exploit

• Cheia MachineKey utilizată de SharePoint este partajată între toate instanțele care fac parte din aceeași infrastructură SharePoint.
• Un atacator care reușește să obțină această cheie poate ulterior să genereze payload-uri valide pentru oricare dintre serverele care aparțin acelei implementări.
• Astfel, exploatarea devine mobilă, reutilizabilă și greu de detectat, inclusiv după actualizare, dacă nu sunt regenerate manual cheile criptografice după aplicarea patch-ului de securitate.

4. Indicatori de compromitere

• Fișiere ca spinstall0.aspx, toolshell.aspx.
• Request-uri POST suspecte către:

• /_layouts/15/ToolPane.aspx?DisplayMode=Edit
• /_layouts/15/SPRemoteShell.aspx
• Trafic de rețea către IP-uri precum:
  • 107.191.58[.]76
  • 104.238.159[.]149
  • 96.9.125[.]147

VERSIUNI AFECTATE

• Microsoft SharePoint Server 2016 (Enterprise)
• Microsoft SharePoint Server 2019
• Microsoft SharePoint Server Subscription Edition

PATCH-URI & VERSIUNI REMEDIATE

• Microsoft SharePoint Server 2016 (Enterprise): patch-ul nu este disponibil încă.
• Microsoft SharePoint Server 2019: patch KB5002754 – disponibil.
• Microsoft SharePoint Server Subscription Edition: patch KB5002768 – disponibil.

RECOMANDĂRI GENERALE

Până la aplicarea actualizărilor, se recomandă următoarele: 

• Activați Antimalware Scan Interface(AMSI) în SharePoint.
• Activați Microsoft Defender AV/Endpoint pe toate serverele.
• Dacă AMSI nu poate fi activat, deconectați serverele de pe internet până la actualizare.
• Regenerați MachineKey-urile după update și restartați Internet Information Services (IIS).
• Monitorizați active următoarele:
  • POST-uri către /_layouts/15/ToolPane.aspx?DisplayMode=Edit.
  • Detectare fișiere ca spinstall0.aspx.
  • IP‑uri suspicioase: 107.191.58[.]76, 104.238.159[.]149, 96.9.125[.]147.
• Monitorizați și actualizați periodic lista de indicatori de compromitere, având în vedere posibilitatea evoluției tehnicilor utilizate de atacatori.

CVE-2025-53770 este o vulnerabilitate de tip Remote Code Execution (RCE) critică, exploatată activ fără autentificare, care afectează serverele SharePoint instalate local (2016, 2019 și Subscription Edition), permițând execuție de cod, compromitere completă, furt de chei criptografice și persistență. Actualizările sunt disponibile pentru versiunile 2019 și Subscription Edition, însă până la aplicarea acestora este esențial ca organizațiile să implementeze măsuri de mitigare precum activarea AMSI, utilizarea Microsoft Defender, monitorizarea traficului și rotația cheilor, iar după actualizare, regenerarea cheilor criptografice este absolut necesară pentru a preveni reutilizarea celor compromise.