Kritiska Microsoft SharePoint ievainojamība (CVE-2025-53770)

Atklāta kritiska ievainojamība (CVE-2025-53770) Microsoft SharePoint programmatūrā (ietekmēti ir tikai on-premises jeb lokāli uzturētie serveri). Ievainojamība ļauj uzbrucējam veikt attālinātu koda izpildi (RCE) uz ievainojamās iekārtas, kas var novest pie pilnīgas sistēmas pārņemšanas, kā arī, potenciāli, uzbrucējam var būt iespēja pārvietoties tālāk tīklā un kompromitēt citas iekārtas.
!!! Ir zināms, ka šī ievainojamība jau tiek aktīvi izmantota kiberuzbrukumos.

Ietekmētās versijas:

• Microsoft SharePoint Server Subscription Edition 16.0.0 < 16.0.18526.20508
• Microsoft SharePoint Server 2019 versija 16.0.0 < 16.0.10417.20037
• Microsoft SharePoint Server 2016

Risinājums:

• Nekavējoties uzstādiet atjauninājumu, ja tas ir pieejams.
  • KB5002754 (SharePoint Server 2019) atjauninājums pieejams šeit: https://www.microsoft.com/en-us/download/details.aspx?id=108286;
  • KB5002768 (SharePoint Subscription Edition) atjauninājums pieejams šeit: https://www.microsoft.com/en-us/download/details.aspx?id=108285;
  • Atjauninājums SharePoint 2016 vēl nav pieejams (21.07.2025), nepieciešams sekot ražotāja ieteikumiem.
• Pēc atjauninājuma uzstādīšanas obligāti jāveic Machine Key rotācija (piemēram, izmantojot Powershell Set-SPMachineKey) un jārestartē IIS serviss.
• Aktivizējiet Antimalware Scan Interface (AMSI) integrāciju SharePoint vidē un instalējiet Microsoft Defender Antivirus uz visiem Sharepoint serveriem, ja tas jau nav izdarīts.
• Ja nav iespējams aktivizēt AMSI un uzstādīt atjauninājumu, iesakām ierobežot/liegt piekļuvi serverim no publiskā interneta līdz būs uzstādīts atjauninājums.

Papildu informācija par ievainojamību pieejama šeit:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-53770

Detalizēti Microsoft ieteikumi ar instrukcijām:
https://msrc.microsoft.com/blog/2025/07/customer-guidance-for-sharepoint-vulnerability-cve-2025-53770/

Papildus tehniskā informācija par ievainojamību un indikatoriem, ko pārbaudīt uz sistēmas, lai noteiktu, vai tā tikusi kompromitēta:
https://research.eye.security/sharepoint-under-siege/

Infrastruktūras skenēšanai var izmantot šeit norādītos Yara rules:
https://github.com/Neo23x0/signature-base/blob/master/yara/expl_sharepoint_jul25.yar

Ja tiek atrastas kompromitācijas pazīmes, piemēram, spinstall0.aspx datne, nekavējoties izolējiet serveri, atgrieziet to uz drošu versiju no rezerves kopijām, uzstādiet atjauninājumus un pārliecinieties, ka AMSI un Microsoft Defender ir iespējots.