Zero-day zranitelnosti v Microsoft SharePoint Serveru – okamžitá opatření jsou nutná

Dvě nové zero-day zranitelnosti v on-premise verzích Microsoft SharePoint Serveru, evidované jako CVE-2025-53770 a CVE-2025-53771, jsou aktivně zneužívány k útokům umožňujícím vzdálené spuštění kódu (RCE). Incidenty byly poprvé zaznamenány 18. července 2025 a již bylo potvrzeno více než 85 kompromitovaných serverů po celém světě.

Kontext a původ zranitelností

Zranitelnosti navazují na dříve odhalený a již opravený exploit „ToolShell“, který byl představen na soutěži Pwn2Own Berlin 2025. Ačkoli Microsoft v červencové aktualizaci opravil chyby CVE-2025-49706 a CVE-2025-49704, útočníci objevili způsob, jak tyto opravy obejít – a právě to umožnily nové zranitelnosti CVE-2025-53770 a CVE-2025-53771.

Zranitelnosti postihují pouze on-premise instalace SharePoint Serveru (verze 2016, 2019 a Subscription Edition). Cloudová služba SharePoint Online součástí Microsoft 365 touto zranitelností zasažena není.

Stav aktualizací a doporučená opatření

Microsoft vydal mimořádné bezpečnostní aktualizace pro tyto verze:

– KB5002754 pro SharePoint Server 2019

– KB5002768 pro Subscription Edition

Oprava pro SharePoint Server 2016 zatím dostupná není, ale očekává se brzy.

Pokud aktualizace nelze aplikovat okamžitě, Microsoft doporučuje zapnout integraci s AMSI (Antimalware Scan Interface) – tato funkce umožňuje antivirovým řešením kontrolovat skripty a podezřelý kód v reálném čase. Dále nasadit Microsoft Defender AV na všech SharePoint serverech a rotovat ASP.NET machine keys (pomocí PowerShellu nebo Central Admin). Pokud nelze aktivovat mitigace, pak je na místě odpojit servery od internetnu.

Dopady a metody útoku

Podle Eye Security útočníci zneužívají zranitelnost k nahrání škodlivého souboru spinstall0.aspx, který slouží ke krádeži kryptografického materiálu serveru (např. ValidationKey a DecryptionKey). Pomocí nástroje ysoserial jsou pak schopni generovat legitimní ViewState tokeny a spouštět libovolný kód na serveru.

Zneužití bylo zaznamenáno například v IIS logu prostřednictvím POST požadavku na _layouts/15/ToolPane.aspx s refererem _layouts/SignOut.aspx.

Detekce kompromitace

Správci mohou přítomnost kompromitace odhalit podle existence souboru C:\Program Files\Common Files\Microsoft Shared\Web Server Extensions\16\TEMPLATE\LAYOUTS\spinstall0.aspx, odpovídajících záznamů v IIS logu nebo detekce pomocí Microsoft 365 Defender dotazu (viz Microsoft dokumentace).

Situace se nadále vyvíjí, ale je jasné, že jde o závažné riziko pro všechny organizace provozující SharePoint servery on-premise. Okamžité nasazení záplat a aktivace bezpečnostních opatření jsou nezbytné ke zmírnění hrozby a ochraně infrastruktury.

Zdroje: Microsoft, Eye Security, bleepingcomputer.com, CISA

Zdroj ilustračního obrázku: vygenerováno pomocí AI