Vulnerabilitatea SharePoint CVE-2025-53770 reprezintă una dintre cele mai grave amenințări de securitate din ultimii ani pentru serverele Microsoft SharePoint. În acest articol vei afla ce presupune această vulnerabilitate, cum poate fi exploatată și ce măsuri urgente trebuie să iei pentru a-ți proteja organizația.
Ce este vulnerabilitatea SharePoint CVE-2025-53770?
CVE-2025-53770 este o vulnerabilitate critică de tip remote code execution (RCE) care afectează versiunile on-premises ale Microsoft SharePoint. Exploatarea acestei vulnerabilități permite unui atacator să execute cod malițios pe server fără autentificare, ceea ce poate duce la compromiterea completă a infrastructurii.
Scor CVSS: 9.8 (Critic)
Afectează: SharePoint Server 2016, 2019, Subscription Edition
Nu afectează: SharePoint Online (Microsoft 365)
Cum funcționează atacul?
Atacatorii exploatează această vulnerabilitate trimițând date special create către endpoint-uri vulnerabile, cum ar fi /layouts/15/ToolPane.aspx. Exploatarea permite ocolirea autentificării și execuția de cod cu privilegii ridicate. După compromitere, atacatorii pot extrage cheile de criptare și pot menține accesul persistent chiar și după aplicarea patch-urilor.
Cine este afectat?
- SharePoint Server 2016 (on-premises) – patch-ul nu este încă disponibil
- SharePoint Server 2019 (on-premises) – patch disponibil
- SharePoint Subscription Edition – patch disponibil
- SharePoint Online – nu este afectat
Organizațiile din toate domeniile, inclusiv guvern, educație și sector privat, sunt vizate activ. CISA a inclus deja această vulnerabilitate în catalogul KEV.
Cum verifici dacă ai fost compromis?
- Caută fișierul
spinstall0.aspxîn directorulLAYOUTSal SharePoint. - Analizează log-urile IIS pentru request-uri suspecte către
/layouts/15/ToolPane.aspx. - Monitorizează procesele neobișnuite pornite de
w3wp.exe.
Ce trebuie să faci urgent?
- Aplică patch-urile de urgență
- KB5002754 pentru SharePoint 2019
- KB5002768 pentru SharePoint Subscription Edition
- Pentru SharePoint 2016, izolează serverul de internet până la apariția patch-ului.
- Activează AMSI (Antimalware Scan Interface)
- Rotește cheile ASP.NET MachineKey
- Folosește comanda PowerShell
Update-SPMachineKeysau Central Admin.
- Folosește comanda PowerShell
- Izolează serverele expuse public
- Mută-le în spatele unui VPN sau blochează accesul extern la porturile 80/443.
- Verifică indicatorii de compromitere
- Caută fișierul
spinstall0.aspxși analizează log-urile pentru activitate anormală.
- Caută fișierul
Resurse externe și referințe oficiale
- Microsoft Security Response Center – Customer Guidance for SharePoint Vulnerability CVE-2025-53770
- Raport Rapid7: Zero-day exploitation in the wild of Microsoft SharePoint servers via CVE-2025-53770
- Qualys ThreatProtect: Microsoft SharePoint Server Zero-day Vulnerability Exploited in the Wild (CVE-2025-53770)
- Unit42 Palo Alto Networks: Active Exploitation of Microsoft SharePoint Vulnerabilities
Pentru mai multe sfaturi despre protecția infrastructurii Microsoft, citește și articolul nostru despre bune practici de securitate pentru Office 365.
Concluzie
Vulnerabilitatea SharePoint CVE-2025-53770 este o amenințare majoră pentru orice organizație care folosește SharePoint on-premises. Aplică patch-urile, rotește cheile criptografice și monitorizează activitatea serverelor pentru a preveni compromiterea. Rămâi la curent cu MSRC și CISA pentru actualizări.
