Kritická chyba vzdialeného kódu v SharePoint umožňuje hackerom uniesť systémy bez nutnosti prihlásenia
Skupina Storm-2603 využíva neopravené servery s reťazenými chybami, aby získala dlhodobý prístup bez odhalenia
ToolShell získal perfektné skóre 10 na rizikovej škále Bitsight, čo vyvolalo okamžitý federálny záujem
Kritická chyba v lokálnych serveroch Microsoft SharePoint eskalovala do rozsiahlejšej krízy v oblasti kybernetickej bezpečnosti, pretože útočníci prechádzajú od špionáže k vydieraniu.
Kampaň, pôvodne spojená s zraniteľnosťou, ktorá umožňovala nenápadný prístup, teraz distribuuje ransomware, čo je vývoj, ktorý pridáva alarmujúcu vrstvu narušenia k tomu, čo bolo predtým chápané ako prienik zameraný na dáta.
Microsoft spojil tento posun s aktérom hrozby, ktorý označuje ako „Storm-2603,“ a obete, ktorých systémy boli uzamknuté, musia zaplatiť výkupné, zvyčajne v kryptomene.
Od tichého prístupu k plnohodnotnému vydieraniu
Jadrom kompromisu sú dve závažné zraniteľnosti, ktoré sú CVE-2025-53770, prezývaná „ToolShell,“ a jej variant CVE-2025-53771.
Tieto chyby umožňujú vzdialené vykonávanie kódu bez nutnosti overenia, čo dáva útočníkom kontrolu nad neopravenými systémami jednoduchým odoslaním upravenej žiadosti.
Absencia požiadaviek na prihlásenie robí tieto exploity obzvlášť nebezpečnými pre organizácie, ktoré odložili aplikáciu bezpečnostných aktualizácií.
Odborníci z Bitsight tvrdia, že CVE-2025-53770 získava maximálne skóre 10 na svojej škále Dynamic Vulnerability Exploit (DVE), čo zdôrazňuje naliehavosť nápravy.
Bezpečnostné firmy zaznamenali prudký nárast útokov. Spoločnosť Eye Security, ktorá ako prvá ohlásila známky kompromisu, odhaduje 400 potvrdených obetí, čo je nárast zo 100 počas víkendu, a varovala, že skutočný počet je pravdepodobne oveľa vyšší.
„Je ich oveľa viac, pretože nie všetky útočné vektory zanechali artefakty, ktoré by sme mohli skenovať,“ povedala Vaisha Bernard, hlavná hackerka pre Eye Security.
Boli postihnuté aj vládne agentúry USA, vrátane NIH a údajne Ministerstva pre vnútornú bezpečnosť (DHS).
V reakcii na to CISA, kybernetická obranná zložka DHS, pridala CVE-2025-53770 do svojho Zoznamu známych využívaných zraniteľností, ktorý nariaďuje okamžité opatrenia v rámci federálnych systémov po vydaní záplat.
Hovorí sa, že jedným z kmeňov v obehu je ransomware „Warlock“, ktorý sa voľne distribuuje v rámci ohrozených prostredí.
Vzor reťazených exploitov, kombinujúcich novšie CVE s staršími, ako je CVE-2025-49704, poukazuje na hlbší štrukturálny problém v bezpečnosti lokálnych inštancií SharePoint.
Útočníkom sa údajne podarilo obísť viacfaktorové overenie, ukradnúť strojové kľúče a udržiavať trvalý prístup v postihnutých sieťach.
Zatiaľ čo SharePoint Online v Microsoft 365 zostáva nedotknutý, dopad na tradičné nasadenia serverov bol rozsiahly.
Výskumníci odhadujú, že už bolo ohrozených viac ako 75 až 85 serverov globálne, pričom postihnuté sektory zahŕňajú vládu, financie, zdravotníctvo, vzdelávanie, telekomunikácie a energetiku.
Globálne je až 9 000 exponovaných služieb stále v ohrození, ak zostanú neopravené.
Organizáciám sa dôrazne odporúča nainštalovať najnovšie aktualizácie, KB5002768 pre Subscription Edition, KB5002754 pre SharePoint 2019 a KB5002760 pre SharePoint 2016.
Microsoft tiež odporúča otáčať hodnoty MachineKey po aplikácii záplat a povoliť integráciu AMSI (Antimalware Scan Interface) s Defender Antivirus.
Medzi ďalšie pokyny patrí skenovanie na prítomnosť známok kompromisu, ako je prítomnosť webových shellov spinstall0.aspx, a monitorovanie protokolov na prítomnosť neobvyklého laterálneho pohybu.
Niektoré organizácie teraz skúmajú modely ZTNA a Business VPN, aby izolovali kritické systémy a segmentovali prístup.
Tieto opatrenia sú však účinné iba vtedy, ak sú kombinované so silnou ochranou koncových bodov a včasnou správou záplat.
