👾 Что делать с новой уязвимостью нулевого дня в Microsoft SharePoint? Рассказывают наши эксперты Все началось 18 июля, когда эксперты компании Eye Security сообщили о массовой эксплуатации RCE-уязвимости в Microsoft SharePoint Server — CVE-2025-53770 (https://vk.cc/cNVS5h) (9,8 балла по шкале CVSS) — совместно с уязвимостью CVE-2025-53771 (https://vk.cc/cNVS8Z), связанной со спуфингом. SharePoint — это веб-приложение от Microsoft, предназначенное для развертывания корпоративных интранет-порталов, управления документами и совместной работы. Ошибка в механизме десериализации позволяет злоумышленнику удаленно выполнить произвольный код до прохождения аутентификации. Успешно проэксплуатировав уязвимость, тот может закрепиться на сервере SharePoint, получить конфиденциальные данные и использовать доступ к серверу для дальнейшего развития атаки на инфраструктуру компании. Microsoft подтверждает, что атаки с эксплуатацией новой уязвимости уже ведутся и затрагивают локальные версии SharePoint Server, но не облачные. Им уже подверглись более 85 серверов SharePoint в разных странах: https://vk.cc/cNVRYL В список пострадавших входят 29 организаций, включая международные корпорации и государственные структуры. 🇷🇺 В безопасности ли российский сегмент? Нет, в зоне риска находится каждая десятая российская энтерпрайз-компания. Более того, иногда серверы SharePoint делают доступными из интернета (это противоречит общепринятым рекомендациям). Система контроля и информирования о поверхности атак «СКИПА» компании «СайберОК» отслеживает около 1800 экземпляров SharePoin в Рунете, из которых более 20% могут быть уязвимы для атак с использованием CVE‑2025‑53770. 🛡 Как защитить себя и бизнес? Во-первых, этим уже занимается Microsoft. Полноценного патча пока нет, но уже 19 июля компания выпустила обновления для SharePoint Server 2016, 2019 и SharePoint Subscription Edition. Также вендор рекомендует настроить интеграцию с Antimalware Scan Interface. Во-вторых, наши эксперты подготовили собственные рекомендации (и даже виртуальный патч) вам в помощь. Итак, что нужно сделать, чтобы вас не взломали: 1⃣ Обновить Microsoft SharePoint до актуальной версии. 2⃣ Применить рекомендации от Microsoft: https://vk.cc/cNVRRj 3⃣ Изолировать сервер и не публиковать корпоративный портал в глобальной сети. 4⃣ Включить Microsoft Defender и интеграцию с AMSI, чтобы предотвратить попадание вредоносных веб-запросов к конечным точкам SharePoint. 5⃣ Отслеживать характерные запросы в журналах. 6⃣ Подключить возможности продуктов Positive Technologies. Например, в MaxPatrol VM эта трендовая уязвимость появилась в течение 12 часов и сейчас может быть обнаружена системой в инфраструктуре организации. А снизить риски эксплуатации уязвимости на конечных устройствах поможет MaxPatrol EDR. PT NAD детектирует попытки эксплуатации данной уязвимости, а PT NGFW может блокировать ее. MaxPatrol SIEM и ML-модуль MaxPatrol BAD также обнаруживают пост-эксплуатацию аномальной активности в инфраструктуре и недостаток безопасности в SharePoint тут не исключение. Кроме того, команда PT Application Firewall уже подготовила виртуальный патч для уязвимости CVE-2025-53770. Чтобы получить его, вы можете обратиться в техническую поддержку: https://vk.cc/cNVRzL #PositiveЭксперты #PositiveTechnologies