Nowe luki w SharePoint Server. Microsoft potwierdza ataki chińskich grup i zaleca natychmiastową instalację poprawek

Infrastruktura informatyczna firm i instytucji państwowych jest ciągle narażona na ataki. Nawet oprogramowanie największych dostawców, używane do zarządzania istotnymi danymi, może skrywać błędy. Ich wykrycie i wykorzystanie przez wyspecjalizowane grupy hakerów stanowi realne zagrożenie dla bezpieczeństwa danych na całym świecie. Najnowszy incydent pokazuje, że skala problemu jest poważna, a za atakami mogą stać podmioty państwowe.

Połączenie dwóch luk w oprogramowaniu Microsoft SharePoint Server pozwala atakującym na przejęcie pełnej kontroli nad serwerem bez uwierzytelniania. Zalecana jest natychmiastowa instalacja poprawek.

Miliard dolarów na cyberszpiegostwo kosztem obrony. Trump radykalnie zmienia strategię cyberbezpieczeństwa USA

Microsoft potwierdził prowadzenie masowych cyberataków na lokalne serwery SharePoint Server przez trzy grupy hakerskie powiązane z Chinami. Firma opublikowała awaryjne poprawki zabezpieczeń dla krytycznych luk zero-day oznaczonych jako CVE-2025-53770 i CVE-2025-53771, które są aktywnie wykorzystywane od początku lipca 2025 roku. Firma zidentyfikowała trzy grupy odpowiedzialne za ataki. Linen Typhoon działa od 2012 roku i koncentruje się na kradzieży własności intelektualnej, skupia się na organizacjach rządowych, obronnych i zajmujących się planowaniem strategicznym. Violet Typhoon aktywny od 2015 roku prowadzi działania szpiegowskie przeciwko byłym pracownikom rządu i wojska, organizacjom pozarządowym, jak również instytucjom edukacyjnym w USA, Europie i Azji Wschodniej. Trzecia grupa Storm-2603 jest oceniana jako chińska grupa, która w przeszłości używała ransomware Warlock i Lockbit.

Cyberprzestępcy używają fałszywych kont GitHub do hostowania złośliwego oprogramowania Amadey i steganografii do phishingu

Podatności dotyczą wyłącznie lokalnych instalacji SharePoint Server i nie wpływają na pracę SharePoint Online w ramach Microsoft 365. Główna luka CVE-2025-53770 otrzymała najwyższą ocenę zagrożenia 9.8 na 10 i pozwala hakerom uruchamiać własny kod na atakowanych serwerach poprzez wysyłanie specjalnie przygotowanych danych. CVE-2025-53771 to obejście poprzednich poprawek zabezpieczeń. Obydwie luki zostały dodane do katalogu Known Exploited Vulnerabilities agencji CISA. Hakerzy wykorzystują łańcuch podatności znany jako ToolShell do uzyskania nieautoryzowanego dostępu do serwerów SharePoint. Po udanym włamaniu hakerzy umieszczają na serwerze złośliwy plik spinstall0.aspx, który działa jak tylne drzwi. Ten plik pozwala im wykraść poufne klucze zabezpieczające i zachować stały dostęp do systemu nawet po naprawieniu pierwotnej luki. Microsoft zaobserwował przypadki ataków na dziesiątki organizacji, w tym agencje rządowe USA. Firma zaleca natychmiastowe zastosowanie wydanych poprawek bezpieczeństwa dla wszystkich wspieranych wersji SharePoint Server. Ważne jest również włączenie i skonfigurowanie Antimalware Scan Interface, a także wdrożenie Microsoft Defender Antivirus na wszystkich serwerach SharePoint. Po aktualizacji niezbędna jest rotacja kluczy ASP.NET machine keys i restart usług IIS. Microsoft podkreśla, że organizacje używające starszych, niewspieranych wersji SharePoint powinny odłączyć je od internetu lub rozważyć całkowite zaprzestanie użytkowania ich.