„Microsoft SharePoint“ Spragos: Ką Žinoti apie Aktyvų Išnaudojimą?
> Rodiklio dėžutė: Pažeidžiamumų skaičius – 3 [1]
> Jei dirbate IT ar administruojate serverius, šios spragos kelia didelę riziką. Per artimiausias dienas galite susidurti su padidėjusia grėsme, todėl būtina veikti greitai, kad apsaugotumėte savo sistemas.
Mikro persona: Esate IT specialistas ar serverių administratorius? Ši informacija gali padėti išvengti rimtų nuostolių.
Pagrindiniai Faktai apie Grėsmę
2025 m. liepos mėn. buvo aptikti aktyviai išnaudojami „Microsoft SharePoint“ pažeidžiamumai, įskaitant CVE-2025-49704 (nuotolinio kodo vykdymas, RCE) ir CVE-2025-49706 (tinklo apgaulė). Jungtinių Amerikos Valstijų (JAV) Kibernetinio ir infrastruktūros saugumo agentūra (CISA) šias spragas įtraukė į žinomų išnaudojamų pažeidžiamumų katalogą (KEV) 2025-07-22. Ši problema paliečia vietinius (on-premise) „SharePoint“ serverius, ypač pasibaigusio palaikymo (EOL) versijas, tokias kaip „SharePoint Server 2013“ ir ankstesnes [1].
Šių spragų grandinė, vadinama „ToolShell“, leidžia neautentifikuotiems užpuolikams pasiekti pilną turinio prieigą, failų sistemas ir vykdyti nuotolinį kodą. Užpuolikai naudoja .aspx ir .exe tipo internetinius apvalkalus (webshells), taip pat .dll krovinius, siekdami gauti mašinos raktus bei diegti kenkėjiškas programas, tokias kaip „Warlock“ išpirkos reikalaujantis virusas. Aktyvūs IP adresai, susiję su išpuoliais, užfiksuoti nuo 2025-07-18 [1].
Svarbu suprasti, kad be aiškios atskaitos taško situacija gali klaidinti. Todėl būtina lyginti savo sistemų būklę su naujausiais „Microsoft“ rekomendacijų duomenimis, paskelbtais 2025-07-22, kad išvengtumėte netikėtų nuostolių [2].Šios grėsmės mastas reikalauja neatidėliotinų veiksmų. Net ir nedidelės organizacijos, naudojančios senesnes sistemas, gali tapti taikiniu. Tad ar esate pasirengę apsaugoti savo serverius?
Platesnis Kontekstas ir Detalės
Šių pažeidžiamumų išnaudojimas nėra vienkartinis incidentas – tai dalis platesnės tendencijos, kai užpuolikai taikosi į pasenusius įmonių serverius. „Microsoft“ patvirtino, kad spragos leidžia apeiti autentifikavimą ir pasiekti kritinius duomenis, o „Palo Alto Networks Unit42“ pranešė apie trečią susijusį pažeidžiamumą – CVE-2025-53770, kuris dar labiau didina riziką [2][3]. Stebimi įtartini užklausų modeliai, tokie kaip POST užklausos į tam tikrus serverio adresus, rodo galimą kenkėjišką veiklą [1].
„ „Tai rimta grėsmė įmonėms, naudojančioms senesnes sistemas.“ – Microsoft Saugumo Komanda [2] “
„Microsoft“ rekomenduoja skubiai taikyti pataisas, įjungti „Antimalware Scan Interface“ (AMSI) ir diegti galutinių įrenginių apsaugos (EDR) sprendimus. Taip pat siūloma rotuoti ASP. NET raktus ir pašalinti piktybiškus modulius iš konfigūracijos failų. Jei AMSI įjungti neįmanoma, serverius būtina atjungti nuo interneto pagal nustatytas gaires [1].
Tačiau ne visi sutinka, kad atjungimas yra vienintelis sprendimas. Kai kurios organizacijos mano, kad laikinai sustiprinta stebėsena gali būti pakankama, jei pataisos diegiamos greitai. Vis dėlto, dauguma ekspertų pabrėžia, kad delsimas dažnai baigiasi dideliais nuostoliais, todėl svarbu veikti nedelsiant [1].
Rizikos ignoravimas gali kainuoti brangiai. Net ir nedidelis delsimas gali atverti duris užpuolikams, todėl būtina veikti dabar. Kaip greitai galite įdiegti pataisas?
Kaip Tai Liečia Jūsų Organizaciją
Šios spragos gali turėti tiesioginį poveikį, jei jūsų organizacija naudoja „SharePoint“ serverius, ypač senesnes versijas. Net ir nedidelės įmonės, turinčios vietinius serverius, rizikuoja prarasti jautrius duomenis ar susidurti su išpirkos reikalaujančiomis programomis. „Microsoft“ teigia, kad pataisų diegimas ženkliai sumažina riziką, jei tai daroma per trumpą laiką nuo atnaujinimų paskelbimo 2025-07-22 [2].
Be to, jei jūsų IT komanda neturi nuolatinio stebėjimo sistemos, galite nepastebėti ankstyvų išpuolio ženklų. Rekomenduojamas „StopRansomware“ gidas siūlo praktinius žingsnius, kaip sustiprinti apsaugą per artimiausią laiką [1]. Svarbu suprasti, kad kiekviena diena be veiksmų didina grėsmę.
Saugumas prasideda nuo mažų žingsnių. Net jei neturite didelių resursų, pradėkite nuo pagrindinių rekomendacijų įgyvendinimo. Ar jūsų sistemos pasirengusios atremti galimą ataką?
ir Rekomendacijos
| Scenarijus | Tikimybė | Stulpelis 3 | Stulpelis 4 |
|---|---|---|---|
| Pilnas pataisų diegimas per trumpą laiką | Aukšta | Rizika sumažėja iki minimumo | Skubiai taikykite „Microsoft“ pataisas, įjunkite AMSI ir EDR. |
| Dalinis pataisų diegimas arba delsimas | Vidutinė | Dalinis duomenų nutekėjimas ar sistemos trikdžiai | Prioritetą teikite kritinėms sistemoms; stebėkite įtartinas užklausas. |
| Jokios reakcijos per dvi savaites | Žema | Pilnas serverio kompromitavimas, „Warlock“ ransomware | Atjunkite serverius nuo interneto, kol pataisos neįdiegtos. |
Dažniausi Klausimai
Ar šios spragos liečia tik dideles įmones? Ne, net ir mažos organizacijos, naudojančios vietinius „SharePoint“ serverius, gali tapti taikiniu. Svarbu veikti nepriklausomai nuo įmonės dydžio.Ką daryti, jei negaliu iš karto įdiegti pataisų? Bent jau sustiprinkite stebėseną ir atjunkite serverius nuo interneto, kol bus įdiegtos apsaugos priemonės [1].
Kaip sužinoti, ar mano sistema jau pažeista? Stebėkite įtartinas užklausas ir kreipkitės į IT specialistus, kad būtų atliktas išsamus patikrinimas [2].
Svarbiausi Punktai ir Veiksmai
Ši situacija – tai priminimas, kad pasenusių sistemų naudojimas yra tarsi atviras kvietimas užpuolikams. Svarbiausia dabar – per artimiausią laiką įdiegti „Microsoft“ pataisas ir sustiprinti serverių apsaugą pagal pateiktas rekomendacijas. Stebėkite savo sistemas dėl įtartinų užklausų ir, jei įmanoma, pasitelkite specialistus, kad išvengtumėte ilgalaikių nuostolių.
Mes atrinkome esminę informaciją, kad galėtumėte greitai susipažinti su situacija. Per artimiausias dienas verta stebėti pataisų diegimo pažangą – nuo to priklausys jūsų sistemų saugumas.
Šaltiniai
_Sutaupėme jums laiką – visi esminiai šaltiniai čia._
[1] CISA – UPDATE: Microsoft Releases Guidance on Exploitation of SharePoint Vulnerabilities [2025-07-20]
[2] Microsoft Security Blog – Disrupting active exploitation of on-premises SharePoint vulnerabilities [2025-07-22]
[3] Palo Alto Networks Unit42 – Microsoft SharePoint CVE-2025-49704 CVE-2025-49706 CVE-2025-53770 [2025-07-21]