Zero-day в SharePoint (CVE‑2025‑53770) 18 июля эксперты Eye Security зафиксировали масштабную атаку на on‑prem SharePoint, включающей цепочку из CVE‑2025‑49706 и CVE‑2025‑49704, теперь уже получившей идентификатор CVE‑2025‑53770. Эксплойт позволяет внедрить web‑shell без авторизации. • Эксплуатация происходит через POST запрос к /_layouts/15/ToolPane.aspx с Referer=/_layouts/SignOut.aspx. • Сохраняется файл spinstall0.aspx - дампер, извлекающий ValidationKey, позволяя создавать псевдо‑валидные ViewState‑токены с помощью ysoserial и получать RCE. • Массовое сканирование показало десятки заражённых серверов в первой волне (~18 июля) и второй (~19 июля) . По данным Eye Security: • Первая волна: IP 107.191.58.76 (~18 июля, 18:06 UTC) • Вторая волна: IP 104.238.159.149 (~19 июля, 07:28 UTC) Комментарий Microsoft: Обнаружено активное использование уязвимости. Патч пока отсутствует. SharePoint Online не затронут. Рекомендации: подключить Defender + AMSI‑интеграцию, отключить сервер от Интернета до выхода обновления. Наш комментарий: Наши аналитики SOC уже столкнулись с попытками эксплуатации данной уязвимости, необходимо принять следующие меры: 1. Изолируйте все on‑prem SharePoint-серверы. 2. Испольлуйзете Defender + AMSI в SharePoint‑окружение и проведите сканирование. 3. Проверьте IIS‑логи на запросы со следующими метриками: • POST /layouts/15/ToolPane.aspx?DisplayMode • Referer /layouts/SignOut.aspx • GET /layouts/15/spinstall0.aspx 4. Сделайте поиск по файлу spinstall0.aspx 5. При обнаружении следов копрометации запустите процесс расследования инцидента. Источники: • research.eye.security • SANS Internet Storm Center • SecurityWeek