კიბერშეტევების მასშტაბურმა ტალღამ მოიცვა ორგანიზაციები მთელს მსოფლიოში Microsoft SharePoint Server-ში არსებული კრიტიკული მოწყვლადობის გამო. მოწყვლადობა CVE-2025-53770 იძლევა კოდის დისტანციურ შესრულებას და აქტიურად გამოიყენება მიზნობრივი შეტევების დროს სახელმწიფო უწყებებზე, უნივერსიტეტებზე, ტელეკომუნიკაციებსა და ენერგეტიკულ კომპანიებზე, ასევე კერძო საწარმოებზე სხვადასხვა ქვეყანაში.
რა მოხდა?
- მოწყვლადობა CVE-2025-53770 დაკავშირებულია არასანდო მონაცემების დესერიალიზაციასთან ადგილობრივად დაინსტალირებულ (on-premises) SharePoint Server-ის ვერსიებში, რაც თავდამსხმელებს საშუალებას აძლევს დისტანციურად გაუშვან თვითნებური კოდი.
- შეტევა კლასიფიცირდება როგორც zero-day — მისი გამოყენება დაიწყო პატჩის გამოსვლამდე.
- დადასტურებული სამიზნეები: აშშ-ის სამთავრობო უწყებები, ტელეკომუნიკაციების კომპანიები აზიაში, ენერგეტიკის სექტორი, უნივერსიტეტები და საწარმოები. გატეხილი სერვერების საერთო რაოდენობამ შესაძლოა ათობით ათასს მიაღწიოს.
ექსპლოიტის ზოგიერთი დეტალი
შეტევა ეფუძნება მოწყვლადობების ჯაჭვს, რომელიც მოიცავს:
- ავთენტიფიკაციის გვერდის ავლა (დაკავშირებულია CVE-2025-49706-თან),
- კოდის ინექცია (CVE-2025-49704-ის ვარიანტი).
ეს ექსპლოიტი, რომელსაც ToolShell ეწოდა, პირველად წარადგინეს Viettel Cyber Security-ის მკვლევრებმა Pwn2Own-ის შეჯიბრზე 2025 წლის მაისში.
ექსპლუატაციის ეტაპები:
1. ავთენტიფიკაციის გვერდის ავლა Referer სათაურის გამოყენებით
შეტევის პირველი ნაბიჯი იყენებს HTTP სათაურების დამუშავების მოწყვლადობას. თავდამსხმელი აგზავნის POST-მოთხოვნას:
/_layouts/15/ToolPane.aspx…გაყალბებული სათაურით:
Referer: /_layouts/SignOut.aspxეს Referer აიძულებს SharePoint-ს, მიიღოს მოთხოვნა, როგორც ავთენტიფიცირებული. ეს საშუალებას იძლევა გადავიდეს შემდეგ ეტაპზე შესვლის, MFA-ის ან SSO-ის საჭიროების გარეშე.
2. არასანდო მონაცემების დესერიალიზაცია
შეტევის შემდეგი ეტაპია მავნე სერიალიზებული .NET-ობიექტების გადაცემა მოთხოვნის სხეულში. ToolPane სერვისი სერვერზე დესერიალიზებს მიღებულ მონაცემებს საკმარისი ვალიდაციისა და ავტორიზაციის გარეშე, რაც ხსნის თვითნებური კოდის ინექციის შესაძლებლობას.
3. ფარული ვებ-შელის (spinstall0.aspx) ჩატვირთვა
ექსპლოიტი იძლევა .ASPX-ფაილის spinstall0.aspx ჩატვირთვის საშუალებას, რომელიც:
- არ აქვს ინტერაქტიული ინტერფეისი.
- არ იწვევს აშკარა საგანგაშო გამოძახებებს PowerShell-ზე.
- სერვერის კონფიგურაციიდან ამოიღებს კრიტიკულად მნიშვნელოვან გასაღებებს:
ValidationKeyDecryptionKey
ეს MachineKey-პარამეტრები SharePoint-ის კრიპტოგრაფიული ოპერაციების საფუძველია, მათ შორის __VIEWSTATE-ის ხელმოწერა.
4. __VIEWSTATE-ის გაყალბება ვალიდური ხელმოწერით
მოპარული გასაღებების გამოყენებით, თავდამსხმელს შეუძლია შექმნას ყალბი, მაგრამ ვალიდური __VIEWSTATE-ობიექტები, რომლებიც:
- გადიან ვალიდაციას როგორც ლეგიტიმურები.
- შეიძლება შეიცავდნენ მავნე კოდს.
- საშუალებას იძლევიან შესრულდეს RCE, სერვერის გადატვირთვის შემდეგაც კი.
ეს უზრუნველყოფს სისტემაზე მუდმივ წვდომას.
5. შეტევის სიმარტივე
შეტევის მთელი ჯაჭვი ერთ HTTP-მოთხოვნაში ჯდება, რაც შესაძლებელს ხდის:
- მასობრივ სკანირებას.
- ბოტნეტების გამოყენებას.
- SIEM-სისტემების უმეტესობის გვერდის ავლას.
6. SSO-ისა და MFA-ის გვერდის ავლა
ვინაიდან ავთენტიფიკაცია თავიდანვე გვერდს ავლებულია, დაცვის ყველა შემდგომი დონე, მათ შორის:
- Multi-Factor Authentication
- Single Sign-On
- Azure AD Conditional Access
…ხდება არაეფექტური. თავდამსხმელი იღებს წვდომას შესვლის, ტოკენების და ანგარიშის გარეშე.
შეტევის გამოვლენა ძალზედ რთულია, ვინაიდან მავნე ტრაფიკი შენიღბულია ლეგიტიმურ SharePoint ოპერაციებად და არ შეიცავს აქტიურ C2-მექანიზმებს.
- მოწყვლადობა არ მოქმედებს ღრუბლოვან SharePoint Online-ზე (Microsoft 365).
- SharePoint-ის გატეხვის შემთხვევაში შესაძლებელია მთელი კორპორატიული ქსელის დაინფიცირება, მათ შორის Outlook-ის, Teams-ისა და OneDrive-ის.
კომპრომეტაციის ინდიკატორები (IoC)
- ფაილის
spinstall0.aspxარსებობა SharePoint-ის შაბლონების კატალოგებში. - PowerShell-ის გაშვებები
w3wp.exe-ის ქვეშ Base64-ით კოდირებული არგუმენტებით. POSTმოთხოვნები/ToolPane.aspx-ზეReferer: /_layouts/SignOut.aspx-ით.- სისტემის მოულოდნელი ქცევა მომხმარებლის შესვლის კვალის გარეშე.
Microsoft-ის პასუხი და რეკომენდაციები
- პატჩები უკვე გამოვიდა შემდეგი ვერსიებისთვის:
- SharePoint Subscription Edition
- SharePoint Server 2019
- SharePoint 2016-ისთვის პატჩი ჯერჯერობით არ არსებობს — რეკომენდებულია რისკის შემცირების ზომების დაუყოვნებლივ მიღება.
- Microsoft გირჩევთ:
- დააინსტალიროთ უსაფრთხოების უახლესი განახლებები.
- ჩართოთ და დააკონფიგურიროთ Antimalware Scan Interface (AMSI).
- გამოიყენოთ Defender for Endpoint ან მსგავსი EDR.
- ჩაატაროთ გასაღებების როტაცია და მოწყვლადი სერვერები გათიშოთ ინტერნეტიდან, თუ პატჩის დაუყოვნებლივ დაყენება შეუძლებელია.
რეგულატორებისა და ექსპერტების რეაქცია
- გამოძიებაში მონაწილეობენ FBI, CISA, ასევე კანადისა და ავსტრალიის სპეცსამსახურები.
- მკვლევრები დაჟინებით გირჩევენ ვივარაუდოთ გატეხვის ფაქტი ნებისმიერი დაუცველი სერვერისთვის და დაიწყოთ ინციდენტების მართვა: ჟურნალების ანალიზი, ფარული საფრთხეების ძიება, გასაღებების შეცვლა.
ექსპერტები აფრთხილებენ: შეტევა კვლავაც გრძელდება, და ლოკალური SharePoint-სერვერების მფლობელებმა დაუყოვნებლივ უნდა მიიღონ ზომები, მათ შორის პატჩების დაყენება, ინფრასტრუქტურის იზოლაცია და ღრმა ანალიზი შეჭრის ნიშნების გამოსავლენად.
წყაროები: Microsoft Security Response • CNN • Washington Post • The Hacker News • Forbes • CISA