Компания Microsoft выпустила экстренное исправление , закрывающее уязвимость в широко используемом программном обеспечении Microsoft SharePoint, которую хакеры использовали для совершения масштабных атак на предприятия и, по крайней мере, некоторые правительственные учреждения США.
В субботу компания опубликовала уведомление для клиентов, в котором сообщила, что ей известно об использовании уязвимости нулевого дня для проведения атак, и что она работает над устранением этой проблемы. В воскресенье Microsoft обновила свои рекомендации, добавив инструкции по устранению проблемы для SharePoint Server 2019 и SharePoint Server Subscription Edition. Инженеры всё ещё работают над исправлением для более старой версии SharePoint Server 2016.
«У любого, у кого есть сервер SharePoint, возникли проблемы», — сказал Адам Майерс, старший вице-президент компании CrowdStrike, специализирующейся на кибербезопасности. «Это серьёзная уязвимость».
Компании и государственные учреждения по всему миру используют SharePoint для внутреннего управления документами, организации данных и совместной работы.
Что такое эксплойт нулевого дня?
Эксплойт нулевого дня — это кибератака, использующая ранее неизвестную уязвимость безопасности. Термин «нулевой день» означает, что у инженеров по безопасности не было ни одного дня для разработки исправления этой уязвимости.
По данным Агентства по кибербезопасности и безопасности инфраструктуры США (CISA), эксплойт, затрагивающий SharePoint , является «вариантом существующей уязвимости CVE-2025-49706 и представляет риск для организаций с локальными серверами SharePoint».
Исследователи безопасности предупреждают, что уязвимость, предположительно известная как «ToolShell», является серьезной и может позволить злоумышленникам получить полный доступ к файловым системам SharePoint, включая службы, подключенные к SharePoint, такие как Teams и OneDrive.
Группа анализа угроз Google предупредила , что уязвимость может позволить злоумышленникам «обойти будущие исправления».
Насколько широко распространено воздействие?
Компания Eye Security сообщила в своём блоге , что просканировала более 8000 серверов SharePoint по всему миру и обнаружила, что по меньшей мере десятки систем были скомпрометированы. Компания, занимающаяся кибербезопасностью, заявила, что атаки, вероятно, начались 18 июля.
В Microsoft заявили, что уязвимость затрагивает только локальные серверы SharePoint, используемые внутри предприятий или организаций, и не затрагивает облачную службу Microsoft SharePoint Online.
Однако Майкл Сикорски, технический директор и руководитель отдела анализа угроз подразделения 42 компании Palo Alto Networks, предупреждает, что эксплойт по-прежнему оставляет многих потенциально уязвимыми для злоумышленников.
«В то время как облачные среды остаются нетронутыми, локальные развертывания SharePoint, особенно в государственных учреждениях, школах, учреждениях здравоохранения (включая больницы) и крупных корпоративных компаниях, подвергаются непосредственному риску».
Чем вы сейчас занимаетесь?
Уязвимость нацелена на серверное программное обеспечение SharePoint, поэтому пользователям этого продукта следует немедленно следовать рекомендациям Microsoft по исправлению своих локальных систем.
Хотя масштабы атаки все еще оцениваются, CISA предупредила, что последствия могут быть широкомасштабными, и рекомендовала отключить от Интернета все серверы, затронутые эксплойтом, до тех пор, пока они не будут исправлены.
«Мы настоятельно призываем организации, использующие локальный SharePoint, немедленно принять меры и установить все необходимые исправления сейчас и по мере их появления проводить ротацию всех криптографических материалов и привлекать специалистов для реагирования на инциденты. Временным решением проблемы будет отключение Microsoft SharePoint от интернета до выхода исправления», — советует Сикорски.
