Запропонувати статтю right arrow icon
Запропонувати статтю right arrow icon
Запропонувати статтю right arrow icon
  • Головна
  • Новини
  • Microsoft випустила екстрені патчі для вразливостей SharePoint, які активно експлуатують в атаках ToolShell
ProIT: медіа для профі в IT
Приблизно хвилину

Microsoft випустила екстрені патчі для вразливостей SharePoint, які активно експлуатують в атаках ToolShell

author avatar ProIT NEWS

Microsoft випустила екстрені оновлення безпеки для SharePoint через дві zero-day вразливості CVE-2025-53770 і CVE-2025-53771, які активно використовують в атаках типу ToolShell. Про це повідомляє Blleping Computer.

Як працює атака ToolShell

У травні на хакерському конкурсі Pwn2Own Berlin дослідники продемонстрували ланцюжок експлойтів під назвою ToolShell, який дозволяв віддалене виконання коду (RCE) в Microsoft SharePoint. Хоча Microsoft закрила ці вразливості в межах липневого Patch Tuesday, зловмисники знайшли два нових способи обходу патчів.

На сьогодні атаки ToolShell уже вразили понад 54 організації по всьому світу.

Екстрені оновлення

Microsoft терміново випустила оновлення поза графіком (out-of-band) для таких продуктів:

SharePoint Server 2019 — патч KB5002754.

SharePoint Subscription Edition — патч KB5002768.

Патч для SharePoint Enterprise Server 2016 ще в розробці.

Згідно з даними Microsoft, оновлення для CVE-2025-53770 надає захист вищого рівня, ніж попередній патч CVE-2025-49704, аналогічно із CVE-2025-53771 проти CVE-2025-49706.

Що потрібно зробити адміністраторам SharePoint

Microsoft закликає негайно встановити відповідні оновлення, а також провести ротацію ключів машини (machine keys).

Варіант 1 — через PowerShell:

Update-SPMachineKey

Варіант 2 — через Central Administration:

Перейдіть на сайт Central Administration.

Далі натисніть Monitoring → Review job definitions.

Знайдіть Machine Key Rotation Job.

Оберіть Run Now.

Після завершення виконайте команду:

iisreset.exe

Як перевірити наявність зловмисної активності

Перевірте:

Чи створено файл:
C:\PROGRA~1\COMMON~1\MICROS~1\WEBSER~1\16\TEMPLATE\LAYOUTS\spinstall0.aspx

Чи є в IIS журналах POST-запити до:
_layouts/15/ToolPane.aspx?DisplayMode=Edit&a=/ToolPane.aspx з HTTP referer /_layouts/SignOut.aspx

Запит у Microsoft 365 Defender:

eviceFileEvents
| where FolderPath has "MICROS~1\\WEBSER~1\\16\\TEMPLATE\\LAYOUTS"
| where FileName =~ "spinstall0.aspx"
or FileName has "spinstall0"
| project Timestamp, DeviceName, InitiatingProcessFileName, InitiatingProcessCommandLine, FileName, FolderPath, ReportId, ActionType, SHA256
| order by Timestamp desc

У разі виявлення файлу потрібно провести повноцінне розслідування на сервері й у внутрішній мережі.

Раніше ми повідомляли, що дослідники безпеки виявили фішинг-атаку, яка, як вважалося, обходить багатофакторну автентифікацію на основі FIDO.

Підписуйтеся на ProIT у Telegram, щоб не пропустити жодної публікації!

Приєднатися до company logo
Продовжуючи, ти погоджуєшся з умовами Публічної оферти та Політикою конфіденційності.

Контакти: +38066-423-39-13 info@proit.ua