- С помощью удаленного кода в SharePoint, хакерские системы могут зарегистрироваться без регистрации
- Storm-2603 использует невыразированные серверы, используя цепные ошибки, чтобы получить долгосрочный доступ
- Toolshell достиг идеальной 10 по шкале рисков бистика и вызвал немедленную обеспокоенность федерального правительства
Критическая ошибка в местных серверах Microsoft SharePoint переросла в более широкий кризис кибербезопасности, потому что злоумышленники переходят от шпиона на шантаж.
Кампания, которая первоначально обусловлена восприимчивостью к безопасности, которая обеспечивает секретный доступ, теперь распространяет вымогатели, разработку, которая дает тревожное нарушение проникновения вторжения данных.
Microsoft связала эту точку зрения с актером угрозы под названием «Storm-2603», и жертвы, чьи системы были заблокированы, должны выплачивать выкуп, обычно в криптовалюте.
От тихого доступа к полному шантажу
В центре компромисса находятся две тяжелые слабости, CVE-2025-53770, называемые «инструментией», а также вариант CVE-2025-53771.
Эти недостатки обеспечивают неавтентированное выполнение удаленного кода, чтобы злоумышленники могли контролировать контроль над неоплачивающимися системами, отправив созданный запрос.
Отсутствие разрешений на регистрацию делает эти эксплойты особенно опасными для организаций, которые задержали использование обновлений безопасности.
Эксперты из Битс Претензия CVE-2025-53770 оценивает максимум 10 по своей шкале DVE (эксплуатация динамической слабости), что подчеркивает срочность реконструкции.
Компании по охране безопасности нашли значительный рост атак. Безопасность глаз, которая впервые сообщила о признаках компромиссов, оценили 400 подтвержденных жертв 100 на выходных и предупредили, что фактическое число, вероятно, намного выше.
«Их гораздо больше, потому что не все векторы атаки оставили артефакты, которые мы можем сканировать», — сказала Вайша Бернард, главный хакер для безопасности глаз.
Также затронуты правительственные органы США, в том числе NIH и сообщают Министерство внутренней безопасности (DHS).
В ответ на это, CISA, DHSS CyberDefense-Arm, добавил известный список эксплуатируемых слабостей CVE-2025-53770, который предписывает немедленные меры между федеральными системами после публикации исправлений.
Говорят, что племя в обращении — это вымогатель «чемпиона ведьм», который свободно распределяется в скомпрометированных средах.
Образец цепных эксплойтов, которые объединяют новые CVE с более старым CVE-2025-49704, указывает на более глубокую структурную проблему в безопасности на экземплярах SharePoint.
Согласно сообщениям, злоумышленники удалось обойти многофакторную аутентификацию, украсть ключ машины и сохранить постоянный доступ к затронутым сетям.
В то время как SharePoint Online не влияет в Microsoft 365, эффекты на обычные позиции сервера были широко распространены.
Исследователи считают, что по всему миру уже пострадали более 75-85 серверов, а сектора пострадали от правительства, финансов, здравоохранения, образования, телекоммуникаций и энергии.
До 9 000 экспонированных услуг по всему миру остаются под угрозой, если они больше не соответствуют.
Организациям просят установить последние обновления, KB5002768 для подписки, KB5002754 для SharePoint 2019 и KB5002760 для SharePoint 2016.
Microsoft также рекомендует вращающиеся значения с ключом после вставки и активации интеграции AMSI (интерфейс антималпроводного сканирования) с антивирусом защитника.
Дополнительные инструкции включают сканирование в соответствии с признаками компромиссов, например, B. Наличие Spinstall0.aspx -Web -Schells и протоколов мониторинга для необычных боковых движений.
В настоящее время некоторые организации изучают модели ZTNA и бизнес -VPN для выделения критических систем и доступа к сегменту.
Тем не менее, эти меры эффективны только в том случае, если они объединяются с сильной защитой конечной точки и быстрого управления исправлениями.
Над Рейтер
Вы также могли бы понравиться
