Alertă globală SharePoint: hackerii exploatează un zero-day periculos pentru a fura chei și a menține accesul permanent
Un nou val de atacuri cibernetice sofisticate vizează serverele Microsoft SharePoint din întreaga lume, exploatând o vulnerabilitate critică necunoscută anterior. Conform cercetărilor efectuate de Check Point Research și alți specialiști în securitate, exploit-ul este activ din 7 iulie 2025 și afectează organizații guvernamentale, din telecomunicații și companii de software din America de Nord și Europa de Vest.
Vulnerabilitatea, identificată ca CVE-2025-53770, este combinată cu alte defecte SharePoint deja cunoscute pentru a permite atacatorilor să obțină acces neautentificat la servere, să escaladeze privilegii și, mai grav, să extragă chei criptografice esențiale. Aceste chei pot fi apoi folosite pentru a menține accesul persistent, chiar și după ce sistemele sunt actualizate. Atacurile sunt în plină desfășurare și reprezintă o amenințare majoră pentru organizațiile care nu reacționează rapid.
Campania cibernetică observată folosește o combinație periculoasă de vulnerabilități: CVE-2025-53770 (execuție de cod la distanță), CVE-2025-49706 (spoofing) și altele asociate (CVE-2025-49704 și CVE-2025-53771). Împreună, aceste defecte formează o veritabilă „trambulină” pentru atacatori, permițându-le să pătrundă în SharePoint Server, să escaladeze drepturile și să instaleze web shell-uri malițioase.
Printre cele mai importante instrumente folosite în atac se află fișierul spinstall0.aspx, un web shell care extrage cheile de validare și criptare ale serverului. Cu aceste chei în mână, atacatorii pot forja tokenuri de autentificare și pot simula sesiuni legitime, practic devenind invizibili pentru sistemele de detecție clasice.
Un alt fișier identificat în atacuri este xxx.aspx, un shell cu funcții de autentificare, execuție de comenzi și upload de fișiere. În unele cazuri, atacatorii au folosit tehnici avansate fără a scrie fișiere pe disc, executând module .NET direct în memorie – o tactică care complică semnificativ detectarea și analiza post-incident.
Deosebit de îngrijorător este faptul că aceste atacuri nu sunt doar teoretice. Exploatări active au fost deja detectate în SUA, Canada, Germania, Olanda, Mexic, Austria, Elveția, Africa de Sud și Iordania. Conform SentinelOne, campaniile inițiale au fost extrem de selective, vizând organizații cu acces privilegiat sau cu valoare strategică.
Cine se află în spatele atacurilor și de ce contează
Deși identitatea precisă a actorilor din spatele acestor atacuri rămâne neclară, specialiștii de la Mandiant (parte a Google Cloud) susțin că una dintre entitățile implicate este asociată cu statul chinez. Charles Carmakal, CTO la Mandiant Consulting, a declarat că exploatările timpurii indică o legătură cu o grupare de hacking aliniată Chinei, care ar fi acționat cu scopul de a fura materiale criptografice pentru a compromite ulterior infrastructuri critice.
Pe lista țintelor se regăsesc firme de consultanță în tehnologie, producători, organizații din infrastructura esențială și companii implicate în arhitectură și inginerie. Asta sugerează o motivație strategică, nu financiară. Infrastructura atacului a fost identificată ca provenind din cel puțin trei IP-uri distincte, unul dintre ele fiind anterior legat de atacuri asupra platformei Ivanti Endpoint Manager.
CrowdStrike a raportat blocarea a sute de tentative de compromitere în peste 160 de organizații-client, în timp ce SentinelOne a identificat trei „clustere” distincte de atacatori, dintre care unul opera exclusiv în memorie („no shell”), fără a lăsa urme pe disc.
Aceste metode avansate arată că nu este vorba despre o campanie clasică de tip ransomware sau malware oportunist, ci despre o operațiune atent coordonată, cu obiective pe termen lung.
Ce măsuri trebuie să iei urgent dacă folosești SharePoint Server
Dacă organizația ta folosește SharePoint Server on-premises, este esențial să acționezi rapid pentru a limita expunerea. Microsoft a lansat actualizări de securitate în cadrul Patch Tuesday din iulie 2025, dar noile exploatări CVE-2025-53770 și CVE-2025-53771 au apărut ulterior ca variante care ocolesc patch-urile originale.
Iată ce poți face imediat:
Aplică toate actualizările disponibile pentru SharePoint Server, inclusiv cele lansate după 15 iulie 2025, care conțin patch-uri mai robuste.
Scanează sistemele pentru prezența fișierelor suspicioase, în special spinstall0.aspx sau xxx.aspx, în directoarele LAYOUTS.
Roteste cheile criptografice ale serverului (ValidationKey și DecryptionKey) și actualizează toate instanțele asociate.
Repornește instanțele SharePoint după aplicarea patch-urilor pentru a te asigura că nu rămân sesiuni persistente active.
Monitorizează traficul HTTP POST suspect și comenzi PowerShell care scriu fișiere în locații sensibile.
Izolează instanțele expuse public sau folosește un WAF (Web Application Firewall) pentru a filtra cererile malițioase.
Verifică autentificările anormale sau sesiunile suspecte în sistemul de loguri.
Campania activă de exploatare a vulnerabilităților zero-day din SharePoint confirmă încă o dată că infrastructurile critice pot deveni ținte în orice moment. Ceea ce este diferit acum este viteza cu care atacatorii valorifică exploit-urile și gradul de sofisticare tehnică. Nu e suficient să ai doar un antivirus – ai nevoie de monitorizare continuă, patch-uri aplicate imediat și o echipă pregătită pentru răspuns la incident.
Dacă folosești SharePoint, nu te baza pe ideea că „nu ai fost vizat până acum”. Poate deja ești. Acționează acum, nu după ce cheia ta de criptare ajunge pe mâna cui nu trebuie.
