Przejdź do głównej zawartości

Microsoft SharePoint na celowniku cyberprzestępców: globalne ataki na lukę zero-day

· 2 min aby przeczytać
Przemysław Majdak
Przemysław Majdak
Full-Stack Developer, Automation Engineer & Web Security Specialist

Aktualne ataki na krytyczne luki zero day w Microsoft SharePoint (CVE‑2025‑53770 & CVE‑2025‑53771), znane pod nazwą „ToolShell”, potwierdzają, że zagrożenie jest poważne i globalne. Exploity umożliwiają nieautoryzowane wykonanie kodu (RCE) i spoofing klientów SharePoint — wszystko bez logowania.

Pierwsze przypadki odnotowano 18 lipca 2025, a ataki eskalowały w ciągu weekendu (sentinelone.com).

Cyberprzestępcy i aktorzy państwowi powiązani z Chinami (Linen Typhoon, Violet Typhoon, Storm‑2603) wykorzystują te luki, atakując instytucje rządowe, uniwersytety, firmy energetyczne, telekomy i szpitale w USA, Niemczech, Azji i Europie (politico.com).

Microsoft wydał pilne poprawki 19–20 lipca 2025 dla SharePoint Server Subscription Edition oraz 2019; patch dla wersji 2016 jest w drodze (techradar.com). CISA, FBI oraz inne agencje ostrzegają: nawet po patchu należy zakładać, że serwery mogły zostać skompromitowane — atakujący mogą mieć backdoory lub web shelle (wsj.com).

🔧 Co robić?

  1. Niezwłocznie zastosować poprawki dla wersji 2019 / Subscription Edition, a gdy dostępny – również dla 2016 (techradar.com).
  2. Podać się założyć, że doszło do włamania — rozpocząć poszukiwanie IOC: web shelle („spinstall0.aspx”), skradzione MachineKeys (microsoft.com).
  3. Wdrażać dodatkowe zabezpieczenia: AMSI + Defender, rotację ASP.NET MachineKeys, monitorowanie aktywności, odłączenie serwerów od Internetu aż do patchowania (msrc.microsoft.com).
  4. Zaangażować zespół IR / zewnętrznych ekspertów, jeśli mamy do czynienia z instytucjonalną, branżową lub rządową infrastrukturą.

Podsumowanie

  • Co to? Atak „ToolShell”: wykorzystanie dwóch krytycznych CVE (53770—RCE; 53771—spoofing), łączonych z wcześniejszymi 49704/49706 (blog.qualys.com).
  • Od kiedy? Pierwsze działania wykryto już 7 lipca, realne ataki ruszyły 18 lipca 2025 (windowscentral.com, trendmicro.com).
  • Kogo dotyczy? On‑prem SharePoint Server (2016, 2019, Subscription Edition); nie dotyczy SharePoint Online / Microsoft 365 (wsj.com).

Sytuacja jest ostra i dynamiczna — wymaga reakcji tu i teraz. To nie teoria — to realny, trwający atak, a każdy dzień zwłoki to zagrożenie utraty kluczowej infrastruktury.