Архив метки: SharePoint

Дайджест трендовых уязвимостей R-Vision "В фокусе RVD" за июль 2025

Дайджест трендовых уязвимостей R-Vision В фокусе RVD за июль 2025

Дайджест трендовых уязвимостей R-Vision "В фокусе RVD" за июль 2025. R-Vision отметили 3 уязвимости:

🔹 RCE - Microsoft SharePoint Server (CVE-2025-53770). Наиболее критичная уязвимость июля. У нас тоже в дайджесте была. ✅
🔹 RCE - WinRAR (CVE-2025-6218). Эта уязвимость у нас тоже в трендовых, но пойдёт уже в сентябрьский дайжест вместе с CVE-2025-8088. ✅
🔹 SFB - Chromium (CVE-2025-6558). Тут расхождение. Мы браузерные уязвимости Chromium к трендовым не относим, т.к. все они должны (по идее) закрываться настройками автообновления браузера. ❌

❓ Уязвимость EoP - Windows Update Service (CVE-2025-48799) попала к нам в дайджест и не попала в дайджест R-Vision. Эксплоит есть - пора трендить и патчить до начала массовых атак. 😉

Дайджест добротный, хорошо структурированный. Содержит вектор атаки, пруфы вендора, описание уязвимости, статус эксплуатации, сценарии атаки, рекомендации по устранению. 👍

Августовский Microsoft Patch Tuesday

Августовский Microsoft Patch Tuesday

Августовский Microsoft Patch Tuesday. Всего 132 уязвимости, на 20 меньше, чем в июле. Из них 25 уязвимостей были добавлены между июльским и августовским MSPT. Есть три уязвимости с признаком эксплуатации вживую. Две из них относятся к трендовой уязвимости SharePoint "ToolShell", эксплуатирующейся вживую с 17 июля:

🔻 RCE - Microsoft SharePoint Server (CVE-2025-53770)
🔻 Spoofing - Microsoft SharePoint Server (CVE-2025-53771)

Ещё одна эксплуатируемая уязвимость касается Chromium:

🔻SFB - Chromium (CVE-2025-6558)

Из остальных уязвимостей без публичных эксплоитов и признаков эксплуатации можно выделить:

🔹 RCE - SharePoint (CVE-2025-49712), GDI+ (CVE-2025-53766), Windows Graphics Component (CVE-2025-50165), DirectX Graphics Kernel (CVE-2025-50176), Microsoft Office (CVE-2025-53731, CVE-2025-53740), MSMQ (CVE-2025-53144, CVE-2025-53145, CVE-2025-50177)
🔹 EoP - Kerberos (CVE-2025-53779), NTLM (CVE-2025-53778)

🗒 Полный отчёт Vulristics

Августовский "В тренде VM": уязвимости в Microsoft Windows и SharePoint

Августовский В тренде VM: уязвимости в Microsoft Windows и SharePoint

Августовский "В тренде VM": уязвимости в Microsoft Windows и SharePoint. Традиционная ежемесячная подборка. В этот раз экстремально короткая.

🗞 Пост на Хабре
🗒 Дайджест на сайте PT

Всего две трендовые уязвимости:

🔻 Remote Code Execution - Microsoft SharePoint Server "ToolShell" (CVE-2025-53770). Уязвимость массово эксплуатируется, возможно злоумышленники могли добраться даже до американских ядерных секретов. Уязвимость актуальна и для России.
🔻 Elevation of Privilege - Windows Update Service (CVE-2025-48799). Уязвимость затрагивает версии Windows 10/11 с как минимум двумя жёсткими дисками.

Эксплуатация ToolShell (CVE-2025-53770) на серверах NNSA

Эксплуатация ToolShell (CVE-2025-53770) на серверах NNSA

Эксплуатация ToolShell (CVE-2025-53770) на серверах NNSA. Пока самая интересная жертва атак с эксплуатацией трендовой уязвимости SharePoint - Национальное управление по ядерной безопасности США (National Nuclear Security Administration, NNSA). Пресс-секретарь Министерства энергетики США (Department of Energy, DOE), в которое входит NNSA, заявил следующее:

"В пятницу, 18 июля, эксплуатация уязвимости нулевого дня Microsoft SharePoint начала затрагивать Министерство энергетики, включая NNSA. […] Пострадало очень небольшое количество систем. Все затронутые системы DOE восстанавливаются. NNSA принимает необходимые меры для снижения риска и перехода на другие решения по мере необходимости."

NNSA управляет запасами ядерного оружия США, включая его тестирование и безопасную транспортировку, занимается ядерными силовыми установками, термоядерным синтезом и т.д.

Немерено секретной информации! И при этом SharePoint. 🤷‍♂️ И, видимо, где-то на периметре. 🤡🤦‍♂️

Насколько уязвимость Remote Code Execution - Microsoft SharePoint Server "ToolShell" (CVE-2025-53770) актуальна для России?

Насколько уязвимость Remote Code Execution - Microsoft SharePoint Server ToolShell (CVE-2025-53770) актуальна для России?

Насколько уязвимость Remote Code Execution - Microsoft SharePoint Server "ToolShell" (CVE-2025-53770) актуальна для России? Похоже, что весьма актуальна. Хотя, казалось бы, спустя три года после начала известных событий и ухода Microsoft из России, можно было бы хотя бы корпоративные порталы заместить на что-то отечественное.

Но нет. Как сообщают коллеги из BiZone:

"По нашей оценке, этим уязвимостям подвержено до 10% российских enterprise-компаний […]"

Более того, находятся уникумы, которые выставляют SharePoint в Интернет. Как сообщают коллеги из CyberOK:

"📡 СКИПА отслеживает ~1 800 экземпляров SharePoint в Рунете. По оценкам экспертов CyberOK, более 20% могут быть уязвимы для атак с использованием CVE‑2025‑53770."

Есть подозрение, что в компаниях, которые всё ещё не мигрировали с SharePoint, с обновлениями всё тоже обстоит не самым лучшим образом. Весьма вероятно, что некоторые из них подломят. Или уже подломили. 🤷‍♂️

Про уязвимость Remote Code Execution - Microsoft SharePoint Server "ToolShell" (CVE-2025-53770)

Про уязвимость Remote Code Execution - Microsoft SharePoint Server ToolShell (CVE-2025-53770)

Про уязвимость Remote Code Execution - Microsoft SharePoint Server "ToolShell" (CVE-2025-53770). SharePoint - это веб-приложение от Microsoft, предназначенное для развертывания корпоративных интранет-порталов, управления документами и совместной работы. Ошибка в механизме десериализации в развёрнутом on-premises SharePoint Server позволяет удалённому неаутентифицированному злоумышленнику выполнить произвольный код.

👾 18 июля эксперты компании Eye Security сообщили о массовой эксплуатации этой уязвимости совместно с уязвимостью спуфинга CVE-2025-53771. Уязвимости CVE-2025-53770 и CVE-2025-53771 - эволюция уязвимостей CVE-2025-49704 и CVE-2025-49706 из июльского MSPT.

🔻 На следующий день, 19 июля, Microsoft выпустили обновления для SharePoint Server 2016, 2019 и SharePoint Subscription Edition. Также MS рекомендовали настроить интеграцию с Antimalware Scan Interface.

🔨 Публичные эксплоиты доступны на GitHub с 21 июля.

Повысилась критичность уязвимости Remote Code Execution - Microsoft SharePoint (CVE-2024-38094)

Повысилась критичность уязвимости Remote Code Execution - Microsoft SharePoint (CVE-2024-38094)

Повысилась критичность уязвимости Remote Code Execution - Microsoft SharePoint (CVE-2024-38094). Уязвимость была исправлена в рамках июльского Microsoft Patch Tuesday (9 июля).

SharePoint - популярная платформа для корпоративных порталов. Согласно бюллетеню Microsoft, аутентифицированный злоумышленник с правами Site Owner может использовать уязвимость для внедрения произвольного кода и выполнения этого кода в контексте SharePoint Server.

10 июля на GitHub появился репозиторий с PoC-ом эксплоита для этой уязвимости, а также видео, демонстрирующее как злоумышленник может запускать процессы на атакуемом сервере SharePoint. Поиском в GitHub по номеру CVE репозиторий с эксплоитом не находится, но ссылка есть в материале The Hacker News. Согласно описанию эксплоита, он также относится к июльским RCE-уязвимостям в SharePoint CVE-2024-38023 и CVE-2024-38024.

22 октября уязвимость добавили в CISA KEV, значит появились доказательства её эксплуатации в реальных атаках.