Добро пожаловать обратно, начинающие хакеры!
CVE-2025-53770 — критическая уязвимость удалённого выполнения кода (RCE) с рейтингом CVSS 9,8, которая затрагивает локальные серверы Microsoft SharePoint. Эта уязвимость активно эксплуатируется неизвестными злоумышленниками как уязвимость нулевого дня и является частью печально известной цепочки эксплойтов «ToolShell», позволяющей неаутентифицированным злоумышленникам полностью взломать систему.
Microsoft SharePoint, в значительной степени основанный на фреймворке .NET, традиционно использует различные методы сериализации, включая XML-сериализацию и класс BinaryFormatter. В то время как новые версии .NET и методы разработки способствуют более безопасным шаблонам сериализации, устаревшие компоненты SharePoint продолжают полагаться на старые механизмы. Эти устаревшие реализации десериализации не включают комплексную проверку данных и целостности. Следовательно, они уязвимы для манипуляций, особенно когда контролируемые злоумышленником данные принимаются в HTTP-запросах GET или POST.
Риск многократно возрастает, поскольку процессы десериализации выполняются с привилегиями приложения хостинга, часто учётной записи веб-сервера с широким доступом к системным ресурсам. Эксплуатация уязвимостей десериализации в SharePoint имеет серьёзные последствия: предоставление возможности удалённого выполнения кода (RCE) посторонним лицам без аутентификации или с минимальной аутентификацией, что создаёт условия для утечек данных, горизонтального перемещения данных в корпоративных сетях и внедрения программ-вымогателей или бэкдоров.
Уязвимость затрагивает следующие версии SharePoint:
9 июля 2025 г .: Microsoft выпустила исправления для исходных уязвимостей во время Вторника исправлений.
18–19 июля 2025 г .: Eye Security выявила активную эксплуатацию серверов SharePoint в реальных условиях с использованием обходов исходных уязвимостей ToolShell, что стало первым известным случаем злоупотребления цепочкой эксплойтов в реальных условиях.
20 июля 2025 г .: CISA добавила уязвимость CVE-2025-53770 в свой каталог известных эксплуатируемых уязвимостей, а Microsoft признала факт атак.
Ход атаки:
Почему это работает: Устаревший код SharePoint содержит логику, которая считает некоторые внутренние переходы между страницами изначально доверенными. Подмена заголовка Referer использует это ошибочное предположение, заставляя сервер считать запрос частью легитимного административного процесса.
Ход атаки:
Ход атаки:
Для тех, кто заинтересован в улучшении своих навыков кибербезопасности, особенно в понимании и защите от сложных уязвимостей, таких как небезопасная десериализация, Hackers-Arise предлагает программы обучения под руководством экспертов. Попробуйте!
CVE-2025-53770 — критическая уязвимость удалённого выполнения кода (RCE) с рейтингом CVSS 9,8, которая затрагивает локальные серверы Microsoft SharePoint. Эта уязвимость активно эксплуатируется неизвестными злоумышленниками как уязвимость нулевого дня и является частью печально известной цепочки эксплойтов «ToolShell», позволяющей неаутентифицированным злоумышленникам полностью взломать систему.
Технический обзор
Уязвимость CVE-2025-53770 вызвана небезопасной десериализацией ненадежных данных на локальных серверах SharePoint, что является этапом выполнения цепочки эксплойтов «ToolShell». Эта уязвимость позволяет обойти исходную уязвимость CVE-2025-49704, которую Microsoft ранее исправила в июле 2025 года.Microsoft SharePoint, в значительной степени основанный на фреймворке .NET, традиционно использует различные методы сериализации, включая XML-сериализацию и класс BinaryFormatter. В то время как новые версии .NET и методы разработки способствуют более безопасным шаблонам сериализации, устаревшие компоненты SharePoint продолжают полагаться на старые механизмы. Эти устаревшие реализации десериализации не включают комплексную проверку данных и целостности. Следовательно, они уязвимы для манипуляций, особенно когда контролируемые злоумышленником данные принимаются в HTTP-запросах GET или POST.
Риск многократно возрастает, поскольку процессы десериализации выполняются с привилегиями приложения хостинга, часто учётной записи веб-сервера с широким доступом к системным ресурсам. Эксплуатация уязвимостей десериализации в SharePoint имеет серьёзные последствия: предоставление возможности удалённого выполнения кода (RCE) посторонним лицам без аутентификации или с минимальной аутентификацией, что создаёт условия для утечек данных, горизонтального перемещения данных в корпоративных сетях и внедрения программ-вымогателей или бэкдоров.
Уязвимость затрагивает следующие версии SharePoint:
- Подписка на SharePoint Server
- SharePoint Server 2019
- SharePoint Server 2016
- SharePoint Server 2010 и 2013
Цепочка эксплойтов ToolShell
Май 2025 г .: Исследователи безопасности из Pwn2Own Berlin впервые продемонстрировали оригинальный эксплойт ToolShell, объединяющий CVE-2025-49704 и CVE-2025-49706.9 июля 2025 г .: Microsoft выпустила исправления для исходных уязвимостей во время Вторника исправлений.
18–19 июля 2025 г .: Eye Security выявила активную эксплуатацию серверов SharePoint в реальных условиях с использованием обходов исходных уязвимостей ToolShell, что стало первым известным случаем злоупотребления цепочкой эксплойтов в реальных условиях.
20 июля 2025 г .: CISA добавила уязвимость CVE-2025-53770 в свой каталог известных эксплуатируемых уязвимостей, а Microsoft признала факт атак.
Как работает эксплойт
Этап 1: Обход аутентификации (CVE-2025-53771) — атака с подменой заголовка
Атака начинается с эксплуатации уязвимости подмены заголовков в механизме обработки запросов SharePoint. SharePoint использует заголовок Referer для проверки некоторых административных запросов, но эту проверку можно обойти с помощью аккуратных манипуляций.Ход атаки:
- Идентификация цели : злоумышленник идентифицирует уязвимый сервер SharePoint и находит уязвимую конечную точку./_layouts/15/ToolPane.aspx
- Создание запроса: злоумышленник создает вредоносный POST-запрос со следующими характеристиками:
- URL-адрес :https://[target]/_layouts/15/ToolPane.aspx?DisplayMode=Edit
- Метод : POST
- Критический заголовок :Referer: /_layouts/SignOut.aspx
- Тип контента :application/x-www-form-urlencoded
- Механизм обхода аутентификации : логика аутентификации SharePoint ошибочно доверяет созданному заголовку Referer, интерпретируя его как легитимный внутренний переход рабочего процесса. Сервер предполагает, что запрос исходит из сеанса аутентификации, переходящего со страницы выхода на панель инструментов.
- Доступ разрешен : сервер предоставляет доступ к конечной точке ToolPane.aspx, не требуя действительных учетных данных аутентификации, фактически обходя весь механизм аутентификации.
Почему это работает: Устаревший код SharePoint содержит логику, которая считает некоторые внутренние переходы между страницами изначально доверенными. Подмена заголовка Referer использует это ошибочное предположение, заставляя сервер считать запрос частью легитимного административного процесса.
Этап 2: Настройка выполнения кода (CVE-2025-53770) – Небезопасная десериализация
Имея аутентифицированный доступ к конечной точке ToolPane.aspx, злоумышленник использует опасную уязвимость десериализации при обработке данных SharePoint.Ход атаки:
- Создание полезной нагрузки : злоумышленник создаёт вредоносный сериализованный объект, содержащий исполняемый код. Эта полезная нагрузка обычно представляет собой сериализованный объект .NET, предназначенный для выполнения системных команд при десериализации.
- Отправка запроса : вредоносная полезная нагрузка отправляется в теле POST-запроса на аутентифицированную конечную точку ToolPane.aspx. Структура полезной нагрузки включает
OST /_layouts/15/ToolPane.aspx?DisplayMode=Edit Referer: /_layouts/SignOut.aspx Content-Type: application/x-www-form-urlencoded [Serialized malicious payload in POST body] - Небезопасная десериализация : серверный код SharePoint получает данные POST и автоматически десериализует полезную нагрузку без надлежащей проверки или очистки. Процесс десериализации .NET запускает выполнение встроенного вредоносного кода.
- Развертывание веб-оболочки: исполняемый код выполняет следующие действия:
- Создает вредоносный файл веб-оболочки ASPX (обычно называемый spinstall0.aspx)
- Записывает веб-оболочку в каталог макетов SharePoint:C:\Program Files\Common Files\Microsoft Shared\Web Server Extensions\16\TEMPLATE\LAYOUTS\
- Устанавливает соответствующие разрешения, чтобы обеспечить доступ к веб-оболочке через HTTP-запросы.
- Возможности выполнения команд
- Доступ к файловой системе
- Сетевое подключение для кражи данных
- Скрытые функции для избежания обнаружения
Этап 3: Извлечение криптографического ключа
Веб-оболочка используется для извлечения критически важного криптографического материала из конфигурации сервера SharePoint, в частности, настроек ASP.NET machineKey.Ход атаки:
- Доступ к веб-оболочке : злоумышленник получает доступ к развернутой веб-оболочке через HTTP:GET https://[target]/_layouts/15/spinstall0.aspx
- Доступ к файлу конфигурации: через веб-оболочку злоумышленник переходит к файлам web.config SharePoint и читает их, в частности, нацеливаясь на:
- Основное приложение web.config
- Веб-конфигурация центра администрирования
- Сервисное приложение web.configs
- Процесс извлечения ключа: веб-оболочка извлекает следующие критические значения из <machineKey>раздела конфигурации:
- ValidationKey : криптографический ключ, используемый для проверки ViewState и других данных ASP.NET.
- DecryptionKey : используется для шифрования и дешифрования ViewState и данных сеанса.
- Алгоритм проверки : используемый алгоритм хеширования (обычно HMACSHA256)
- Алгоритм дешифрования : используемый алгоритм шифрования (обычно AES)
Этап 4: Вооружённое персистирование – эксплуатация ViewState
Используя такие инструменты, как ysoserial, злоумышленник создаёт вредоносные полезные данные __VIEWSTATE, подписанные украденными ключами. Поскольку SharePoint доверяет подписи, он десериализует и выполняет встроенные полезные данные, что позволяет выполнять удалённый код без аутентификации.Заключение
Уязвимости десериализации SharePoint демонстрируют серьёзную опасность небезопасной десериализации в сложных устаревших корпоративных приложениях. Злоумышленники используют эти уязвимости для обхода аутентификации, выполнения произвольного кода и сохранения постоянного доступа, что приводит к разрушительным последствиям, включая кражу данных и внедрение программ-вымогателей.Для тех, кто заинтересован в улучшении своих навыков кибербезопасности, особенно в понимании и защите от сложных уязвимостей, таких как небезопасная десериализация, Hackers-Arise предлагает программы обучения под руководством экспертов. Попробуйте!
