Alertă cibernetică: Serverele Microsoft SharePoint, ținta hackerilor. Ce recomandări pentru securitate sunt necesare?
O vulnerabilitate critică descoperită în platforma Microsoft SharePoint a expus zeci de mii de servere din întreaga lume unor atacuri cibernetice.
Microsoft a confirmat existența a două vulnerabilități de tip zero-day – CVE‑2025‑53770 și CVE‑2025‑53771 – care permit executarea de cod la distanță (RCE), permițând atacatorilor să compromită complet mediile SharePoint locale.
O actualizare urgentă de securitate a fost lansată pentru a remedia vulnerabilitățile critice de tip zero-day în SharePoint Server. Aceste vulnerabilități sunt exploatate activ de atacatori, permițând executarea de cod la distanță și compromiterea potențială a întregilor medii SharePoint.
Dacă ai Microsoft SharePoint instalat local (2016/2019/SharePoint Server Subscription Edition), acționează urgent: actualizează, activează AMSI, schimbă credențialele și verifică indicatori de mai jos.
🛡️ Ce s‑a întâmplat?
-
Denumită CVE‑2025‑53770, această vulnerabilitate este un zero‑day de tip remote code execution (RCE), cauzată de deserializarea datelor nevalidate în serverele SharePoint instalate local CISA info.
-
Exploit-ul este activ, fiind deja folosit în atacuri de tip “ToolShell” – a compromis peste 75 de servere (inclusiv ale unor corporații și agenții guvernamentale) și a vizat mii de servere la nivel global Help Net Security.
-
Impact: Obținerea neautorizată a accesului, furtul cheilor criptografice (machine keys), incapacitatea de a repara doar prin patch dacă au fost deja compromise The Washington Post
🧩 Cine este afectat?
-
Toate versiunile on‑premises: SharePoint Server 2016, 2019 și Subscription Edition – Help Net Security.
-
Nu este afectat: SharePoint Online/Microsoft 365
Deși SharePoint Online (Microsoft 365) nu este afectat, versiunile on-premises sunt expuse unui risc imediat. Microsoft a lansat patch-uri critice — KB5002768 (Subscription Edition) și KB5002754 (2019) — care trebuie aplicate de urgență.
Se recomandă activarea AMSI în modul complet, instalarea Microsoft Defender Antivirus, precum și rotirea cheilor ASP.NET și repornirea IIS după actualizare. Microsoft oferă suport suplimentar prin Defender for Endpoint, pentru detectarea tentativelor de exploatare și analiza compromisurilor.
🔧 Cum te poți proteja
-
Aplică imediat patch‑urile Microsoft:
-
SharePoint Server Subscription Edition (KB5002768)
-
SharePoint 2019 (KB5002754) Reuters+Microsoft Security Response Center
-
SharePoint 2016: patch în curs de dezvoltare
-
-
Activează Antimalware Scan Interface (AMSI) și folosește Microsoft Defender Antivirus Reuters+Microsoft Security Response Center.
-
Deploy‑ează Microsoft Defender for Endpoint pentru detecție proactive SANS Internet Storm Center+ Microsoft Security Response Center.
-
Deconectează de la internet serverele vulnerabile până la patch, daca AMSI nu poate fi activat NVD+Microsoft Security Response Center+7Help Net Security.
-
Rotește cheile ASP.NET Machine Keys și restart IIS după remediere Microsoft Security Response Center Help Net Security.
-
Monitorizare/IDS:
-
Monitorizează POSTs:
/layouts/15/ToolPane.aspx?DisplayMode=Edit
-
Verifică IP-urile suspecte:
107.191.58.76
,104.238.159.149
,96.9.125.147
-
Caută fișiere webshell sau modificări:
spinstall0.aspx
, etc
-
-
Audit intern & răspuns incident:
-
Izolează orice server compromis și rotește credențialele și tokens-urile Help Net SecurityThe Washington Post.
-
Consultă specialiști în securitate cibernetică.
-
Vă sugerăm să aveți mare atenție. Vulnerabilitatea CVE‑2025‑53770 este de tip RCE (remote code execution), clasificată drept critică. Aceasta este deja exploatată activ și reprezintă un risc major pentru mediile SharePoint on-premises.
✅ SharePoint Online (Microsoft 365) nu este afectat – prin urmare, migrarea către cloud poate reprezenta o soluție viabilă de securitate și continuitate operațională.
📩 Aveți nevoie de ajutor? Echipa One-IT este pregătită să vă ofere asistență tehnică prioritară, audit de securitate și sprijin în aplicarea corectă a patch-urilor și implementarea măsurilor de protecție. Completează formularul de solicitare — iar echipa noastră te va contacta în cel mai scurt timp.
– sursa info: linkuri in articol plus pasi: https://www.cisa.gov/news-events/alerts/2025/07/20/microsoft-releases-guidance-exploitation-sharepoint-vulnerability-cve-2025-53770?
– sursa photo: https://cybersecuritynews.com/microsoft-security-update-sharepoint-0-day/
- Alertă cibernetică: Serverele Microsoft SharePoint, ținta hackerilor. Ce recomandări pentru securitate sunt necesare? - 21 iulie 2025
- Cum să instalezi și să configurezi NoMachine pe Windows PC pentru conectarea remote la un Server VPS - 14 noiembrie 2024
- One-IT furnizează echipamente, soluții și softuri pentru SmartLab-uri complete | PNRR/PNRAS Digitalizare scoli - 18 septembrie 2024