Caută pe site
Publică anunț în ziar
curierul-national-logo Logo-Curierul-National-Blck
Publică anunț în ziar
  • Actualitate
  • Economie
    • Agricultură
    • Asigurări
    • Auto
    • Companii
    • Construcții
    • Energie
    • Finanțe și Bănci
    • Fiscalitate
    • HR
    • Imobiliare
    • IT
    • Retail
    • Transporturi
    • Turism
  • Extern
  • Politic
  • Cultură și Educație
  • Sport
  • Opinii
Reading: Vulnerabilitate critică de securitate cibernetică identificată la nivelul Microsoft Sharepoint
Distribuie
Curierul NationalCurierul National
Search
  • Actualitate
  • Economie
  • Extern
  • Opinii
  • Politic
  • Sport
  • Salvate
  • PUBLICAȚIA
    • Despre noi / Contact
    • Publicitate
    • Fonduri Europene
    • Redacția
Have an existing account? Sign In
Follow
IT

Vulnerabilitate critică de securitate cibernetică identificată la nivelul Microsoft Sharepoint

Curierul Național
Autor
Curierul Național
Publicat 22 iulie 2025
Distribuie

Sursa: dnsc.ro

CVE-2025-53770 este o vulnerabilitate de tip Remote Code Execution (RCE), clasificată cu un nivel critic de 9.8 conform Common Vulnerability Scoring System (CVSS), ce afectează mai multe versiuni de Microsoft SharePoint Server instalate local. Vulnerabilitatea poate fi exploatată fără autentificare de către un potențial atacator.

DETALII TEHNICE

Această problemă se bazează pe un mecanism de deserializare nesigură în modulul de procesare a unor parametri web, în special __VIEWSTATE. Atacatorii pot exploata această vulnerabilitate pentru a livra payload-uri dăunătoare în contextul aplicației, fără a necesita acces autentificat sau privilegii speciale.

  1. Mecanismul de exploatare
  • Atacatorul trimite un request către un endpoint vulnerabil al SharePoint (ex: /layouts/ToolPane.aspx) cu un fișier ASPX rău intenționat, ca parte dintr-un payload web shell.
  • Acest payload (ex: spinstall0.aspx) este proiectat pentru a extrage cheile criptografice ale serverului:
    • MachineKey.DecryptionKey
    • MachineKey.ValidationKey
  • Odată obținute aceste chei, atacatorul poate:
    • Genera un payload __VIEWSTATE semnat și criptat valid.
    • Exploata mecanismul de deserializare a conținutului __VIEWSTATE pentru a executa cod .NET arbitrar pe server.
  • Deși __VIEWSTATE este în mod normal semnat și criptat, atacatorul, având cheia de semnare, poate introduce un obiect .NET periculos serializat, care, în timpul deserializării de către server, va duce la execuție de cod.
  1. Persistență și Shell-uri

    După exploatarea inițială, atacatorul:

  • Instalează web shell-uri persistente (ex: toolshell.aspx, spinstaller.aspx) în directoarele publice.
  • Configurează backdoor-uri prin conturi SharePoint sau rulează PowerShell pentru a încărca și executa payload-uri suplimentare.
  1. MachineKey – impact post-exploit
  • Cheia MachineKey utilizată de SharePoint este partajată între toate instanțele care fac parte din aceeași infrastructură SharePoint.
  • Un atacator care reușește să obțină această cheie poate ulterior să genereze payload-uri valide pentru oricare dintre serverele care aparțin acelei implementări.
  • Astfel, exploatarea devine mobilă, reutilizabilă și greu de detectat, inclusiv după actualizare, dacă nu sunt regenerate manual cheile criptografice după aplicarea patch-ului de securitate.
  1. Indicatori de compromitere
  • Fișiere ca spinstall0.aspx, toolshell.aspx.
  • Request-uri POST suspecte către:
  • /_layouts/15/ToolPane.aspx?DisplayMode=Edit
  • /_layouts/15/SPRemoteShell.aspx
  • Trafic de rețea către IP-uri precum:
    • 107.191.58[.]76
    • 104.238.159[.]149
    • 96.9.125[.]147

VERSIUNI AFECTATE

  • Microsoft SharePoint Server 2016 (Enterprise)
  • Microsoft SharePoint Server 2019
  • Microsoft SharePoint Server Subscription Edition

PATCH-URI & VERSIUNI REMEDIATE

Amazon testează roboți umanoizi care ar putea să înlocuiască curierii în viitor
6 iunie 2025
  • Microsoft SharePoint Server 2016 (Enterprise): patch-ul nu este disponibil încă.
  • Microsoft SharePoint Server 2019: patch KB5002754 – disponibil.
  • Microsoft SharePoint Server Subscription Edition: patch KB5002768 – disponibil.

RECOMANDĂRI GENERALE

Până la aplicarea actualizărilor, se recomandă următoarele: 

  • Activați Antimalware Scan Interface(AMSI) în SharePoint.
  • Activați Microsoft Defender AV/Endpoint pe toate serverele.
  • Dacă AMSI nu poate fi activat, deconectați serverele de pe internet până la actualizare.
  • Regenerați MachineKey-urile după update și restartați Internet Information Services (IIS).
  • Monitorizați active următoarele:
    • POST-uri către /_layouts/15/ToolPane.aspx?DisplayMode=Edit.
    • Detectare fișiere ca spinstall0.aspx.
    • IP‑uri suspicioase: 107.191.58[.]76, 104.238.159[.]149, 96.9.125[.]147.
  • Monitorizați și actualizați periodic lista de indicatori de compromitere, având în vedere posibilitatea evoluției tehnicilor utilizate de atacatori.

CVE-2025-53770 este o vulnerabilitate de tip Remote Code Execution (RCE) critică, exploatată activ fără autentificare, care afectează serverele SharePoint instalate local (2016, 2019 și Subscription Edition), permițând execuție de cod, compromitere completă, furt de chei criptografice și persistență. Actualizările sunt disponibile pentru versiunile 2019 și Subscription Edition, însă până la aplicarea acestora este esențial ca organizațiile să implementeze măsuri de mitigare precum activarea AMSI, utilizarea Microsoft Defender, monitorizarea traficului și rotația cheilor, iar după actualizare, regenerarea cheilor criptografice este absolut necesară pentru a preveni reutilizarea celor compromise.

Distribuie articolul
Facebook Whatsapp Whatsapp LinkedIn Reddit Telegram Email Copy Link Print
Distribuie
Articolul anterior Guvernul central chinez intensifică eforturile de sprijin pentru Tibet
Articolul următor GhostContainer: Kaspersky identifică un nou backdoor care vizează serverele Microsoft Exchange
Niciun comentariu

Lasă un răspuns Anulează răspunsul

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *

-Publicitate-
Ad imageAd image

Ultimele articole

Transparența salarială: de la concept la legiferare. Impactul Directivei (UE) 2023/970 asupra IMM-urilor din România
Actualitate HR
IMM România: Cât costă economia României absența unui guvern cu puteri depline
Economie
Poprire pe conturile Romatsa, impusă la cererea Pfizer. Ilie Bolojan anunță că România va replica prin mijloace legale
Actualitate

RSS Știri Financiare

  • Târgu Mureș, Pitești și Craiova în topul creșterilor de prețuri pe piața rezidențială
  • Electro-Alfa International și SGB-SMIT au investit 20 milioane euro într-o fabrică la Botoșani
  • Platforma socială eYou depășește 100.000 de utilizatori și introduce funcția video
  • NOZOMI Travel Society depășește 1 milion de euro în rezervări la o săptămână de la lansare
IT

Hackerii derulează campanii de phishing care vizează organizații din sectorul financiar, folosind o clonă Minesweeper transformată în troian

1 minute
IT

Kaspersky raportează o creștere de peste 230% a numărului de programe rău intenționate de crypto mining

7 minute
IT

România va avea un comitet de coordonare pentru date, servicii digitale şi inteligenţa artificială 

1 minute
IT

450 de copii se pregătesc pentru joburile viitorului prin participarea la atelierele de programare și robotică CoderDojo

3 minute
favicon curierul national favicon curierul national
  • EDIȚIA DIGITALĂ
  • ABONAMENT DIGITAL
  • PUBLICĂ ANUNȚ ÎN ZIAR
  • CONTACTEAZĂ-NE

PUBLICAȚIA

  • Despre noi
  • Publicitate
    • Fonduri Europene
    • Anunțuri Mică Publicitate
    • Advertorial
  • Redacția
  • Contact

ȘTIRI

  • Actualitate
  • Extern
  • Cultură și Educație
  • Politic
  • Sport
  • București

BANI

  • Economie
  • Companii
  • IT
  • Agricultură
  • Energie
  • Fiscalitate
  • Imobiliare
  • Turism

PARTENERI

  • B1 TV
  • Gazeta de Sud
  • Money Buzz!
  • Știrile de Azi
  • Goool.ro
  • Bucharest Daily News
  • Slatina Buzz!

BUN DE AFACERI, DIN 1990

Welcome Back!

Sign in to your account

Username or Email Address
Password

Lost your password?