Microsoft анонсировала экстренные обновления для исправления активно эксплуатируемых 0-day в SharePoint Server, которые отслеживаются как CVE-2025-53770 и CVE-2025-53771.

По данным обнаружившей атаки Eye Security, эксплуатация CVE-2025-53770 и CVE-2025-53771, получивших условное наименование ToolShell, началась 18 июля.

На удивление Microsoft оперативно подтвердила использование проблем в реальных условиях и поделилась мерами по смягчению, одновременно приступив к разработке исправлений.

Поздно вечером в воскресенье разработчики сообщили об обновлениях безопасности, которые позволят устранить уязвимости в SharePoint Subscription Edition и SharePoint 2019. Обновления для SharePoint 2016 - почти на выходе.

CVE-2025-53770 и CVE-2025-53771 затрагивают только локальные серверы SharePoint. Уязвимости могут быть объединены в цепочку для реализации RCE без аутентификации.

В ходе атак, замеченных Eye Security и Google, злоумышленники внедряли веб-шелл и похищали криптографические секреты, что открыла им полный доступ к взломанным системам.

При этом результаты сканирования Eye Security глобальной сети позволили выявить десятки серверов SharePoint, которые были взломаны с помощью ToolShell.

В свою очередь, ShadowServer заявила о более чем 9000 экземплярах SharePoint, доступных через интернет, большинство из которых располагаются в Северной Америке и Европе, но пока без маркировки их возможной уязвимости для обнаруженных проблем.

На выходных компания Palo Alto Networks также задетектила задействование CVE-2025-49704 и CVE-2025-49706 в широкомасштабных атаках по всему миру.

CVE-2025-53770 и CVE-2025-53771 являются вариантами CVE-2025-49706 и CVE-2025-49704, которые исследователи из команды Viettel продемонстрировали еще в мае на хакерском турнире Pwn2Own в Берлине, о чем мы также сообщали.

Microsoft исправила уязвимости CVE-2025-49706 и CVE-2025-49704 в рамках PatchTuesday за июль 2025 года.

Однако несколько дней спустя исследователи Code White воспроизвели цепочку эксплойтов, которую они назвали ToolShell, показав, возможность ее выполнения всего лишь одним запросом неавторизованного злоумышленника.

Так что и злоумышленникам, по всей видимости, удалось обойти исправления Microsoft для CVE-2025-49706 и CVE-2025-49704 для инициирования атак на уязвимые серверы SharePoint.

Соответственно Microsoft опубликовала новые рекомендации и присвоила новые CVE: CVE-2025-53770 и CVE-2025-53771, исправления которых обеспечивает, как уверяют разработчики, более качественную защиту нежели для предыдущих CVE-2025-49704 и CVE-2025-49706.

При этом, в рекомендациях Microsoft по уязвимости CVE-2025-53771 до сих пор не упоминается активная эксплуатация. Впрочем, микромягкие, как всегда, в своем репертуаре.