Egy új, CVE-2025-53770 azonosítójú kritikus sérülékenységet fedeztek fel a Microsoft SharePoint Server rendszerben, melyet már aktívan kihasználnak kiberbűnözők világszerte. A CVSS súlyossági pontszám: 9.8, vagyis a maximális kritikus besorolást kapta.
🔍 Mi a probléma lényege?
- Típus: Távoli kódfuttatás (Remote Code Execution – RCE)
- Érintett rendszer: Microsoft SharePoint Server (on-premises verziók)
- Nem érintett: Microsoft SharePoint Online (Microsoft 365)
- Root ok: Jogosulatlan adatsorozat-deszerializáció (deserialization of untrusted data) lehetővé teszi a kódfuttatást bejelentkezés nélkül.
🛡️ Nincs elérhető javítás – Mit tehetsz azonnal?
Microsoft még nem adott ki javítást, de az alábbi lépések azonnal javasoltak:
- AMSI (Antimalware Scan Interface) engedélyezése a SharePoint szervereken
- Microsoft Defender Antivirus telepítése és konfigurálása
- AMSI hiányában – a SharePoint szerver ideiglenes lekapcsolása az internetről
A védelem nélküli rendszereket a támadók távolról elérhetik, MFA és SSO rendszereket is megkerülve.
🔓 Miért súlyos ez a sérülékenység?
- Teljes SharePoint hozzáférés, fájlokkal, jogosultságokkal, biztonsági kulcsokkal együtt
- Oldalsó mozgás (lateral movement) – más Windows rendszerbe való behatolás
- Kriptográfiai kulcsok ellopása, amelyek segítségével a támadók más szolgáltatásokhoz is hozzáférhetnek
- Tartós hozzáférés a szervezet infrastruktúrájához (pl. OneDrive, Teams, Exchange, Outlook)
🧪 Hogyan működik a támadás?
- ToolShell kampány: A CVE-2025-49706 + CVE-2025-49704 láncolása során a támadók PowerShell-lel ASPX fájlokat töltenek fel a szerverre
- Gépkulcsok ellopása: A SharePoint gépkulcsainak (ValidationKey, DecryptionKey) megszerzése után bármely kérés RCE lehetőséggé alakulhat
- Valós támadások: Eye Security már 75 szervezetet értesített a kompromittálódásról – köztük nagyvállalatokat és kormányzati szerveket
📢 Microsoft válasza
- A Microsoft elismerte a problémát, dolgozik a javításon
- Még nincs frissítés
- További részletek és útmutatás hamarosan várható
- Javasolt a folyamatos figyelem a Microsoft Security Advisory oldalon
🔐 Mit tegyenek a szervezetek most?
| Lépés | Fontosság |
|---|---|
| AMSI engedélyezése | 🔴 Elengedhetetlen |
| Defender Antivirus telepítése | 🟠 Erősen ajánlott |
| Hozzáférési naplók és aktivitás elemzése | 🟡 Hasznos megelőzéshez |
| Internetkapcsolat megszüntetése a SharePoint szerverről | 🔴 Átmeneti védelmi lépés, ha nincs AMSI |
| Felhasználói kulcsok és titkosítási kulcsok cseréje, ha kompromittálódott | 🔴 Kritikus a fertőzés után |
