Microsoft экстренно закрыла опасные уязвимости в SharePoint — хакеры уже атакуют

22.07.2025

Microsoft выпустила внеплановые патчи для SharePoint после того, как по всему миру зафиксировали атаки с использованием двух новых уязвимостей нулевого дня — CVE-2025-53770 и CVE-2025-53771. Уязвимости стали частью продолжающейся кампании ToolShell, ранее представленной хакерами на Pwn2Own в Берлине. По данным компании, атаки затронули уже более 50 организаций.

Несмотря на то что Microsoft уже пыталась закрыть связанные бреши в рамках июльского Patch Tuesday, злоумышленникам удалось найти обходной путь. Новый эксплойт снова позволил запускать произвольный код на SharePoint-серверах. Под удар попали версии Subscription Edition и Server 2019, для которых уже вышли срочные обновления. Патч для SharePoint 2016 пока в процессе.

Для устранения угрозы Microsoft рекомендует:

немедленно установить обновления: KB5002754 для SharePoint 2019 и KB5002768 для Subscription Edition;
провести ротацию machine keys через PowerShell (Update-SPMachineKey) или вручную через Central Admin;
перезапустить IIS на всех SharePoint-серверах (iisreset.exe);
проверить логи и файловую систему на наличие следов взлома.

Особое внимание следует уделить файлу spinstall0.aspx, расположению \LAYOUTS, и POST-запросам к ToolPane.aspx в IIS-логах. Также Microsoft предоставила готовый запрос для Defender, чтобы оперативно выявить факт атаки.

С учётом недавних инцидентов, SharePoint всё чаще становится лакомым куском для продвинутых групп. И если вы ещё не обновились — сейчас самое время. Следующий ToolShell может быть уже у вас.