Poważna luka zero-day w Microsoft SharePoint wykorzystywana przez cyberszpiegów

Check Point Research ostrzega przed poważną luką zero-day (CVE-2025-53770) w lokalnych instalacjach Microsoft SharePoint. Błąd jest już aktywnie wykorzystywany przez grupy cyberprzestępcze działające na zlecenie wywiadów wybranych państw. Kampania określona mianem „ToolShell” umożliwia zdalne wykonanie kodu i uzyskanie dostępu do serwerów, głównie w sektorze publicznym, telekomunikacyjnym i IT.

Jak podkreśla Lotem Finkelstein, dyrektor działu wywiadu zagrożeń w Check Point Research, „działania mają charakter cichy, wysoce ukierunkowany i noszą znamiona działań państwowych”. Wskazuje to na możliwość prowadzenia cyfrowej operacji szpiegowskiej na szeroką skalę.

Atak wykorzystuje niestandardowy webshell ukryty w parametrach VIEWSTATE, co umożliwia zaawansowane ataki deserializacji i unikanie wykrycia. Co więcej, napastnicy łączą nową podatność z wcześniej znanymi lukami w systemach Ivanti (CVE-2025-4427 i CVE-2025-4428), tworząc złożone łańcuchy ataków.

Choć Microsoft nie udostępnił jeszcze pełnej łatki, specjaliści radzą natychmiastową rotację kluczy ASP.NET, uruchomienie skanowania antymalware, ograniczenie dostępu do SharePoint z internetu i wdrożenie pakietu IPS 635254838.

Liczba ataków na sektor publiczny przekracza obecnie 2000 tygodniowo. W Polsce i Niemczech służby ostrzegają przed eskalacją działań szpiegowskich i hybrydowych, a krajowe inicjatywy takie jak np. „Cyberbezpieczny wodociąg” mają zwiększyć odporność instytucji.

Eksperci podkreślają, że nie jest to tylko zwykły błąd w kodzie – to realne zagrożenie dla infrastruktury bezpieczeństwa całych państw.