Последствия серии атак, направленных на устранение дефектов в локальных серверах Microsoft SharePoint, продолжают распространяться спустя почти неделю после обнаружения эксплойтов нулевого дня, вызвав тревогу по всему миру . По данным Eye Security , более 400 организаций подверглись активным атакам в ходе четырёх волн.
Пострадали несколько государственных учреждений, включая Министерство энергетики, Министерство внутренней безопасности и Министерство здравоохранения и социальных служб. Также пострадал Калифорнийский независимый системный оператор, управляющий частью оптовой электросети штата.
По мере того, как всё больше жертв подтверждают разную степень компрометации в результате серии атак, исследователи изучают и делятся подробностями о действиях после их использования. Один из китайских злоумышленников, стоящих за первой волной атак, Storm-2603, начал использовать программу-вымогатель Warlock с 18 июля, сообщила Microsoft Threat Intelligence в обновлённой публикации в блоге в среду .
По данным Microsoft , связанные с правительством Китая группы угроз Linen Typhoon и Violet Typhoon, действующие уже не менее десяти лет, также активно эксплуатируют уязвимости нулевого дня . Linen Typhoon фокусируется на краже интеллектуальной собственности, а Violet Typhoon занимается шпионажем. Storm — это название, которое Microsoft использует для групп угроз, находящихся в разработке.
Microsoft заявила, что обнаружила, что Storm-2603 изменяет параметры политики для распространения программы-вымогателя Warlock в скомпрометированных средах. Злоумышленник также пытается украсть криптографические ключи со скомпрометированных серверов SharePoint, что может позволить злоумышленникам сохранять постоянный доступ к средам жертв после установки исправления. Microsoft не сообщила, сколько организаций пострадало от программы-вымогателя.
Активные эксплойты нулевого дня — CVE-2025-53770 и CVE-2025-53771 — представляют собой варианты двух ранее раскрытых уязвимостей — CVE-2025-49706 и CVE-2025-49704 , которые Microsoft устранила в своём обновлении безопасности ранее в этом месяце. Обнаружив новые уязвимости, Microsoft в спешном порядке приступила к разработке исправлений, выпустив их для всех затронутых версий SharePoint к вечеру понедельника.
Эксплойт, получивший название «ToolShell», который позволяет злоумышленникам обходить многофакторную аутентификацию и единый вход, содержит недавно обнаруженные дефекты: CVE-2025-53770, критическую уязвимость удаленного выполнения кода, и CVE-2025-53771, уязвимость обхода безопасности.
По данным Агентства по кибербезопасности и безопасности инфраструктуры, цепочка эксплойтов «ToolShell» позволяет злоумышленникам получить полный доступ к контенту SharePoint и выполнить код по сети. Исследователи ESET Labs отмечают, что группы злоумышленников часто используют все четыре уязвимости в цепочке для проникновения в организации.
В воскресенье CISA добавила уязвимость CVE-2025-53770 в свой каталог известных эксплуатируемых уязвимостей , а во вторник добавила в базу данных уязвимости CVE-2025-47904 и CVE-2025-47906. CISA заявила, что CVE-2025-53770 — это способ обхода исправления для CVE-2025-49704, а CVE-2025-53771 — способ обхода исправления для CVE-2025-49706.
Чиновники отказались описать уровень компромисса, достигнутого в федеральном правительстве.
«После того, как в пятницу была обнаружена уязвимость Microsoft SharePoint, CISA оперативно запустила общенациональный скоординированный ответ, выпустив предварительное оповещение и два обновления по кибербезопасности», — заявил представитель Министерства внутренней безопасности. «CISA круглосуточно сотрудничает с Microsoft, пострадавшими ведомствами и партнёрами по критически важной инфраструктуре, обмениваясь практической информацией, применяя меры по смягчению последствий, внедряя защитные меры и оценивая превентивные меры для защиты от будущих атак».
Представитель компании сообщил, что расследование с целью выявления потенциального раскрытия информации продолжается, добавив, что «на данный момент нет никаких доказательств утечки данных из Министерства внутренней безопасности или любого из его подразделений».
Министерство энергетики, которое пострадало вместе с Национальным управлением по ядерной безопасности, также не осведомлено о какой-либо утечке конфиденциальной или секретной информации.
Эксплуатация уязвимости нулевого дня Microsoft SharePoint начала оказывать негативное влияние на Министерство энергетики и Национальную администрацию национальной безопасности в пятницу. «Министерство пострадало минимально благодаря широкому использованию облака Microsoft 365 и высокоэффективных систем кибербезопасности», — заявил представитель агентства.
«Пострадало очень небольшое количество систем. NNSA принимает необходимые меры для снижения риска и перехода на другие решения по мере необходимости», — добавил представитель.
Министерство здравоохранения и социальных служб США заявило, что отслеживает, выявляет и минимизирует все риски для своих ИТ-систем, связанные с уязвимостью Microsoft SharePoint. «Эта уязвимость характерна не только для Министерства здравоохранения и социальных служб США и наблюдалась в других федеральных агентствах и частном секторе», — заявил представитель агентства. «В настоящее время у нас нет никаких признаков утечки какой-либо информации в результате этой уязвимости».
Джейми Акеманн, директор по коммуникациям Калифорнийского независимого системного оператора, сообщила, что некоммерческая организация, управляющая междугородними линиями электропередачи, охватывающими 80% энергосистемы Калифорнии, узнала о возможном взломе в воскресенье. «Этот инцидент не повлиял на работу рынка или надежность сети», — сказала Акеманн. «Все системы остаются стабильными и полностью работоспособными».
Microsoft SharePoint широко распространен в корпоративных и государственных организациях и тесно интегрирован с платформой Microsoft. Исследователи предупреждают, что злоумышленники могут использовать взломы для более глубокого проникновения в сети жертв.
Атаки распространились по всему миру, но на сегодняшний день наиболее интенсивной мишенью являются организации, базирующиеся в США: на них приходится более 13% атак, согласно телеметрическим данным ESET. Сканирование Shadowserver Foundation показало, что по состоянию на среду почти 11 000 экземпляров SharePoint всё ещё были доступны для интернета.
Пострадали несколько государственных учреждений, включая Министерство энергетики, Министерство внутренней безопасности и Министерство здравоохранения и социальных служб. Также пострадал Калифорнийский независимый системный оператор, управляющий частью оптовой электросети штата.
По мере того, как всё больше жертв подтверждают разную степень компрометации в результате серии атак, исследователи изучают и делятся подробностями о действиях после их использования. Один из китайских злоумышленников, стоящих за первой волной атак, Storm-2603, начал использовать программу-вымогатель Warlock с 18 июля, сообщила Microsoft Threat Intelligence в обновлённой публикации в блоге в среду .
По данным Microsoft , связанные с правительством Китая группы угроз Linen Typhoon и Violet Typhoon, действующие уже не менее десяти лет, также активно эксплуатируют уязвимости нулевого дня . Linen Typhoon фокусируется на краже интеллектуальной собственности, а Violet Typhoon занимается шпионажем. Storm — это название, которое Microsoft использует для групп угроз, находящихся в разработке.
Microsoft заявила, что обнаружила, что Storm-2603 изменяет параметры политики для распространения программы-вымогателя Warlock в скомпрометированных средах. Злоумышленник также пытается украсть криптографические ключи со скомпрометированных серверов SharePoint, что может позволить злоумышленникам сохранять постоянный доступ к средам жертв после установки исправления. Microsoft не сообщила, сколько организаций пострадало от программы-вымогателя.
Активные эксплойты нулевого дня — CVE-2025-53770 и CVE-2025-53771 — представляют собой варианты двух ранее раскрытых уязвимостей — CVE-2025-49706 и CVE-2025-49704 , которые Microsoft устранила в своём обновлении безопасности ранее в этом месяце. Обнаружив новые уязвимости, Microsoft в спешном порядке приступила к разработке исправлений, выпустив их для всех затронутых версий SharePoint к вечеру понедельника.
Эксплойт, получивший название «ToolShell», который позволяет злоумышленникам обходить многофакторную аутентификацию и единый вход, содержит недавно обнаруженные дефекты: CVE-2025-53770, критическую уязвимость удаленного выполнения кода, и CVE-2025-53771, уязвимость обхода безопасности.
По данным Агентства по кибербезопасности и безопасности инфраструктуры, цепочка эксплойтов «ToolShell» позволяет злоумышленникам получить полный доступ к контенту SharePoint и выполнить код по сети. Исследователи ESET Labs отмечают, что группы злоумышленников часто используют все четыре уязвимости в цепочке для проникновения в организации.
В воскресенье CISA добавила уязвимость CVE-2025-53770 в свой каталог известных эксплуатируемых уязвимостей , а во вторник добавила в базу данных уязвимости CVE-2025-47904 и CVE-2025-47906. CISA заявила, что CVE-2025-53770 — это способ обхода исправления для CVE-2025-49704, а CVE-2025-53771 — способ обхода исправления для CVE-2025-49706.
Чиновники отказались описать уровень компромисса, достигнутого в федеральном правительстве.
«После того, как в пятницу была обнаружена уязвимость Microsoft SharePoint, CISA оперативно запустила общенациональный скоординированный ответ, выпустив предварительное оповещение и два обновления по кибербезопасности», — заявил представитель Министерства внутренней безопасности. «CISA круглосуточно сотрудничает с Microsoft, пострадавшими ведомствами и партнёрами по критически важной инфраструктуре, обмениваясь практической информацией, применяя меры по смягчению последствий, внедряя защитные меры и оценивая превентивные меры для защиты от будущих атак».
Представитель компании сообщил, что расследование с целью выявления потенциального раскрытия информации продолжается, добавив, что «на данный момент нет никаких доказательств утечки данных из Министерства внутренней безопасности или любого из его подразделений».
Министерство энергетики, которое пострадало вместе с Национальным управлением по ядерной безопасности, также не осведомлено о какой-либо утечке конфиденциальной или секретной информации.
Эксплуатация уязвимости нулевого дня Microsoft SharePoint начала оказывать негативное влияние на Министерство энергетики и Национальную администрацию национальной безопасности в пятницу. «Министерство пострадало минимально благодаря широкому использованию облака Microsoft 365 и высокоэффективных систем кибербезопасности», — заявил представитель агентства.
«Пострадало очень небольшое количество систем. NNSA принимает необходимые меры для снижения риска и перехода на другие решения по мере необходимости», — добавил представитель.
Министерство здравоохранения и социальных служб США заявило, что отслеживает, выявляет и минимизирует все риски для своих ИТ-систем, связанные с уязвимостью Microsoft SharePoint. «Эта уязвимость характерна не только для Министерства здравоохранения и социальных служб США и наблюдалась в других федеральных агентствах и частном секторе», — заявил представитель агентства. «В настоящее время у нас нет никаких признаков утечки какой-либо информации в результате этой уязвимости».
Джейми Акеманн, директор по коммуникациям Калифорнийского независимого системного оператора, сообщила, что некоммерческая организация, управляющая междугородними линиями электропередачи, охватывающими 80% энергосистемы Калифорнии, узнала о возможном взломе в воскресенье. «Этот инцидент не повлиял на работу рынка или надежность сети», — сказала Акеманн. «Все системы остаются стабильными и полностью работоспособными».
Microsoft SharePoint широко распространен в корпоративных и государственных организациях и тесно интегрирован с платформой Microsoft. Исследователи предупреждают, что злоумышленники могут использовать взломы для более глубокого проникновения в сети жертв.
Атаки распространились по всему миру, но на сегодняшний день наиболее интенсивной мишенью являются организации, базирующиеся в США: на них приходится более 13% атак, согласно телеметрическим данным ESET. Сканирование Shadowserver Foundation показало, что по состоянию на среду почти 11 000 экземпляров SharePoint всё ещё были доступны для интернета.
