Un nou val de atacuri cibernetice sofisticate țintește serverele Microsoft SharePoint din întreaga lume, exploatând o vulnerabilitate critică necunoscută anterior. Cercetări efectuate de experți în securitate, indică faptul că exploit-ul este activ din 7 iulie 2025 și afectează instituții guvernamentale, companii din sectorul telecomunicațiilor și firme de software din America de Nord și Europa de Vest.

Vulnerabilitatea, identificată ca CVE-2025-53770, este combinată cu alte vulnerabilități SharePoint deja cunoscute pentru a permite atacatorilor să acceseze neautorizat serverele, să își extindă privilegiile și, mai grav, să extragă chei criptografice esențiale. Aceste chei pot fi folosite pentru menținerea unui acces permanent, chiar și după ce sistemele sunt actualizate. Atacurile sunt în desfășurare și reprezintă o amenințare semnificativă pentru organizațiile care nu reacționează prompt.

Campania cibernetică utilizează o combinație periculoasă de vulnerabilități: CVE-2025-53770 (executare de cod la distanță), CVE-2025-49706 (suprafacere) și altele asociate (CVE-2025-49704 și CVE-2025-53771). Vulnerabilitățile colaborând, creează o cale de atac puternică pentru atacatori, permițându-le să pătrundă în mediile SharePoint, să își extindă accesul și să instaleze shell-uri malițioase.

Printre instrumentele utilizate în atac se regăsește fisierul spinstall0.aspx, un shell malițios care extrage cheile de validare și criptare ale serverului. Cu aceste chei, atacatorii pot crea tokenuri false de autentificare și pot simula sesiuni legitime, devenind nedetectabili pentru sistemele de detectare.

Un alt fișier identificat în atacuri este xxx.aspx, un shell cu funcții de autentificare, executare de comenzi și încărcare de fișiere. În unele cazuri, atacatorii utilizează tehnici sofisticate, executând module .NET direct în memorie, fără a scrie fișiere pe disc, ceea ce dificultăți în detectarea și analiza post-incident.

Atacurile nu sunt doar teoretice. Exploatari active au fost detectate în Statele Unite, Canada, Germania, Olanda, Mexic, Austria, Elveția, Africa de Sud și Iordania. Inițial, atacurile au avut un caracter selectiv, vizând organizații cu acces privilegiat sau cu valoare strategică.

Cine este responsabil și de ce contează

În ciuda faptului că identitatea exactă a actorilor din spatele atacurilor nu este clară, specialiștii susțin că una dintre entitățile implicate ar fi asociată cu statul chinez. Specialiștii indică o legătură cu o grupă de hackeri asociată Chinei, care ar fi urmărit să fure materiale criptografice pentru compromise ulterior infrastructuri critice.

Țintele includ companii de consultanță, producători, organizații din infrastructura critică și firme din domeniul arhitecturii și ingineriei. Motivul atacurilor pare să fie strategic, nu financiar. Infrastructura atacurilor pare să provină cel puțin din trei IP-uri distincte, dintre care unul a mai fost implicat în atacuri asupra platformei Ivanti Endpoint Manager.

Alte companii de securitate au raportat blocarea a sute de tentative de compromise, în peste 160 de organizații. Se observă o complexitate a tacticilor folosite, cu atacuri fiind efectuate în spațiul de memorie evitând lăsarea de urme pe disc.

Aceste metode avansate sugerează că nu e vorba de o campanie clasică de tip ransomware sau malware oportunist, ci de un proces complex și coordonat, cu obiective pe termen lung.

Ce măsuri trebuie luate urgent dacă utilizezi SharePoint Server

Dacă organizația ta folosește SharePoint Server, este vital să acționezi prompt pentru a minimiza expunerea. Microsoft a lansat actualizări de securitate, dar noile exploatari au apărut ulterior ca variante capabile să ocolească patch-urile originale.

Iată ce trebuie făcut urgent:

• Aplică toate actualizările disponibile pentru SharePoint Server, inclusiv cele lansate după data de 15 iulie 2025.
• Scanează sistemele pentru fișiere suspecte, în special spinstall0.aspx sau xxx.aspx, în directoarele LAYOUTS.
• Schimbă cheile criptografice ale serverului și actualizează orice instanță asociată.
• Repornește instanțele SharePoint după aplicarea patch-urilor pentru a garanta eliminarea sesiunilor persistente.
• Monitorizează traficul HTTP suspect și comenzile PowerShell care scriu fișiere în zone sensibile.
• Izolează situațiile expuse public sau utilizează un WAF (Web Application Firewall) pentru a filtra cererile malițioase.
• Verifică autentificări anormale sau sesiuni suspecte în jurnale.

Campania de exploatare a vulnerabilităților zero-day din SharePoint demonstrează că infrastructurile critice pot fi vizate în orice moment. Viteza și sofisticarea atacurilor necesită un răspuns imediat, care include monitorizare continuă, aplicarea promptă a patch-urilor și o echipă pregătită pentru incidente de securitate.

Nu te baza pe ideea că ești imun. Fii pregătit și protejează-ți sistemul acum.