Opasne SharePoint ranjivosti se aktivno iskorištavaju

AUTOR ·

U petak, 18. jula, iskorištena je ranije nepoznata ranjivost nultog dana u softveru Microsoft SharePoint, što je uticalo na Ministarstvo energetike i njegovu poluautonomnu Nacionalnu administraciju za nuklearnu bezbjednost. Ovaj napad je označio jedan od nekoliko slučajeva u kojima su zlonamjerni akteri iskoristili ranjivosti u lokalnim implementacijama SharePoint servera kako bi dobili neovlašteni pristup vladinim sistemima.

SharePoint

Opasne SharePoint ranjivosti se aktivno iskorištavaju; Source: Bing Image Creator – Edit Saša Đurić

SHAREPOINT RANJIVOSTI

SharePoint se odnosi na Microsoft SharePoint softver za upravljanje dokumentima, koji omogućava organizacijama da skladište i upravljaju digitalnim sadržajem kao što su dokumenti, datoteke i drugi podaci. U kontekstu sajber bezbjednosti, SharePoint se često koristi u lokalnim okruženjima za saradnju i dijeljenje informacija.

Sada je u SharePoint serveru iskorištena ranjivost nultog dana, koja omogućava zlonamjernim akterima da izvršavaju udaljeni kôd bez autentifikacije. Ova ranjivost omogućava trajno raspoređivanje zlonamjernog softvera i krađu osjetljivih podataka.

Kompanija Microsoft je ovaj napad pripisala grupama koje sponzoriše kineska država kao glavne zlonamjerne aktere odgovorne za iskorištavanje ranjivosti SharePoint servera. Kineski zlonamjerni akteri su posljednjih godina povezane sa raznim sajber napadima1,2, što ističe njihove kontinuirane napore da iskoriste slabosti u upravljanju lokalnom infrastrukturom.

 

Razmjere napada

Obim uticaja ranjivosti proteže se daleko izvan Ministarstva energetike Sjedinjenih Američkih Država, ugrožavajući sisteme kojima upravljaju višestruki vladini entiteti i organizacije. Nacionalne vlade u Evropi i na Bliskom istoku bile su među pogođenima, što ističe globalnu prirodu ovog incidenta. Pored ovih međunarodnih meta, žrtve napada su postale i ministarstva sa sjedištem u Sjedinjenim Američkim Državama, kao što su Ministarstvo prosvjete, Ministarstvo prihoda Floride i Generalna skupština Roud Ajlenda.

Koordinirani napad je omogućen iskorišćavanjem tehničkih ranjivosti u SharePoint server sistemima kojima se upravlja lokalno, a ne u implementacijama zasnovanim na oblaku. Ova razlika je ključna, jer naglašava bezbjednosne rizike povezane sa upravljanjem softverskom infrastrukturom unutar sopstvene mreže organizacije.

Kada je riječ o kritičnoj infrastrukturi, Nacionalna administraciju za nuklearnu bezbjednost (eng. National Nuclear Security Administration – NNSA) je odgovorna za održavanje i projektovanje nacionalnog arsenala nuklearnog oružja Sjedinjenih Američkih Država. Upad u sisteme ove agencije ima značajne implikacije po nacionalnu bezbjednost ove zemlje, jer ugrožava kritičnu infrastrukturu koja podržava napore protiv terorizma, bezbjedno transportuje nuklearno oružje širom zemlje i obezbjeđuje reaktore za podmornice mornarice.

Iako nijedna osvetljiva ili klasifikovana informacija nije navodno ugrožena tokom ovog incidenta, stručnjaci za sajber bezbjednost upozoravaju da čak i pristup poslovnim sistemima predstavlja značajan bezbjednosni rizik. Zlonamjerni akteri bi potencijalno mogli da koriste informacije o osoblju dobijene iz ovih mreža u svrhu društvenog inženjeringa, olakšavajući buduće štetnije napade.

 

Ranjivosti

U maju 2025. godine, sigurnosni istraživači su demonstrirali lanac eksploatacije nazvan “ToolShell” na hakerskom takmičenju Pwn2Own. Ovu metodologija napada je pokazala ozbiljan potencijal za ugrožavanje sistema, primoravajući kompaniju Microsoft da dodjeli nove identifikatore i izda ispravke za ove ranjivosti:

  • CVE-2025-49704: Ova ranjivost predstavlja identifikovanu ranjivost u softveru Microsoft SharePoint sa CVSS v3 ocjenom 8. Konkretno, spada u kategoriju ranjivosti ubrizgavanje kôda (eng. code injection). Ova vrsta ranjivosti omogućava zlonamjernim akterima da ubrizgavaju zlonamjerni kôd u ranjivi sistem. Uspješna eksploatacija omogućava zlonamjernim akterima da izvršavaju proizvoljni kôd na pogođenim sistemima. Ova mogućnost se može iskoristiti preko mrežnih veza, omogućavajući zlonamjernim akterima da daljinski pokreću zlonamjerni kôd unutar SharePoint okruženja. Potencijalni uticaj je značajan, jer ova ranjivost može dovesti do neovlaštenog pristupa, izmjene podataka ili drugih bezbjednosnih propusta.
  • CVE-2025-49706: Ova ranjivost sa CVSS v3 ocjenom 5 predstavlja ranjivost nepravilne autentifikacije koja pogađa Microsoft SharePoint server. Ova ranjivost omogućava zlonamjernim akterima da lažno predstavljaju legitimne korisnike ili resurse unutar SharePoint okruženja. Uticaj ove ranjivosti je značajan, jer omogućava neovlašteni pristup i otkrivanje informacija. Uspješna eksploatacija omogućava zlonamjernim akterima da vide osjetljive podatke i izmjene otkriveni sadržaj bez odgovarajućeg ovlaštenja. Ovo stvara značajne bezbjednosne rizike za pogođene organizacije. U kontekstu sajber bezbjednosti, ranjivost je klasifikovana kao problem nepravilne autentifikacije (eng. improper authentication), koji se može iskoristiti putem napada lažnog predstavljanja preko mrežnih veza.

 

“Osnovni uzrok [CVE-2025-53770] je kombinacija dvije ranjivosti: zaobilaženja autentifikacije (CVE-2025-49706) i ranjivosti nebezbjedne deserijalizacije (CVE-2025-49704).”

Akamai Security Intelligence Group

 

Zlonamjerni akteri su su brzo analizirali ispravke kako bi pronašle slabosti i iskoristile ih u praksi, primoravajući kompaniju Microsoft da dodjeli nove identifikatore:

  • CVE-2025-53770: Ova vrsta ranjivost omogućava zlonamjernom akteru da izvrši proizvoljni kôd na pogođenom sistemu bez potrebe za interakcijom korisnika. Drugim riječima, omogućava zlonamjernim akterima da daljinski pokreću zlonamjerni kôd u SharePoint okruženju, zaobilazeći tradicionalne bezbjednosne kontrole kao što su jednokratno prijavljivanje (eng. single sign-on – SSO) i autentifikacija u više koraka (eng. multi-factor authentication – MFA). Uspješna eksploatacija daje zlonamjernom akteru mogućnost izvršavanja proizvoljnih komandi na pogođenom sistemu, efikasno mu dajući kontrolu nad SharePoint okruženjem. Ovo se može koristiti u zlonamjerne svrhe kao što je instaliranje zlonamjernog softvera, krađa osjetljivih informacija ili ometanje kritičnih usluga. Stručnjaci za sajber bezbjednost ocjenjuju ovu ranjivost kao kritičnu, sa CVSS v3 ocjenom 8 što ukazuje na njen visok potencijal za eksploataciju i uticaj na pogođene sisteme.
  • CVE-2025-53771: Ova ranjivost sa CVSS v3 ocjenom 5 je klasifikovana kao ranjivost koja podrazumijeva lažno predstavljanje SharePoint servera. Ona omogućava zlonamjernim akterima da se predstavljaju kao pouzdani i legitimni korisnici ili resursi u SharePoint okruženju. Uspješna eksploatacija omogućava zlonamjernim akterima da obmanu žrtve i navedu ih da izvrše nenamjerne radnje, što potencijalno može dovesti do neovlaštenog pristupa ili ugrožavanja podataka. Kao kritični bezbjednosni rizik, ova ranjivost predstavlja značajnu prijetnju za SharePoint implementacije u preduzećima širom sveta. Zlonamjerni akteri mogu iskoristiti ovu ranjivost da bi stekli početno uporište u mreži, što može biti odskočna daska za dalje napade i bočno kretanje unutar ugroženog okruženja.

Ovo je odličan primjer kako zlonamjerni akteri mogu sistematski da urade obrnuti inžinjering bezbjednosnih ispravki kako bi pronašli zaobilaženja, ističući potrebu za evoluirajućim bezbjednosnim stavovima.

 

“Ispravke su rijetko potpuno sveobuhvatne, a baze kôda su složene, a implementacije veoma raznovrsne. Zato su ti testovi i procesi regresionog testiranja toliko komplikovani. U idealnom svetu, svi bi koristili najnoviju verziju kôda, potpuno ispravljenu. Očigledno je da to nije moguće, pa se razvoj funkcija mora testirati na eksponencijalno komplikovanijoj površini.”

Trey Ford, Bugcrowd’s CISO

 

Kako je Microsoft dopustio ovo?

Dana 8. jula, kompanija Microsoft je objavila svoja mjesečna ažuriranja “Utorak ispravki” (eng. Patch Tuesday), koja su uključivala ispravke za CVE-2025-49706 i CVE-2025-49704. Međutim, kako su izvijestili različiti izvori, ove ispravke nisu u potpunosti riješile ranjivosti u praksi.

Ažuriranja od 8. jula bila su dio većeg napora da se ublaže rizici povezani sa Microsoft okruženjima. Međutim, kako se dublje zalazi u složenost koja okružuje ove ispravke, postaje očigledno da nema lakih odgovora. Sama veličina i raznolikost korisničkih okruženja otežavaju kompaniji Microsoft (i drugim dobavljačima) da razviju sveobuhvatne ispravke.

Jedan od glavnih faktora koji doprinosi postojanju bezbjednosnih propusta je sve veća složenost korisničkih okruženja. Kako su primijetili stručnjaci iz industrije, ispravke rijetko u potpunosti rješavaju ranjivosti zbog složene prirode kôdnih baza i različitih implementacija. Ova složenost proizilazi iz potrebe za razvojem funkcija na eksponencijalno komplikovanijim površinskim oblastima.

U idealnom svetu, svi korisnici bi koristili najnoviju verziju softvera sa potpunim pokrivanjem ispravki. Nažalost, ovo nije ostvariva realnost. Kao takva, kompanija Microsoft se mora nositi sa testiranjem svojih ispravki u različitim korisničkim okruženjima, svako sa jedinstvenim konfiguracijama i implementacijama. Ova varijabilnost unosi dodatnu složenost u proces razvoja, što sve više otežava proizvođačima poput kompanije Microsoft da kreiraju sveobuhvatne ispravke.

Ispravke su suštinski aspekt održavanja bezbjednosti softvera. Međutim, ova ažuriranja rijetko su u potpunosti sveobuhvatna zbog svojih inherentnih ograničenja. Kako su objasnili stručnjaci iz industrije, ispravke se često oslanjaju na testne sisteme i procese regresionog testiranja koji mogu biti komplikovani i dugotrajni za izvršavanje. Ova složenost proizilazi iz potrebe za temeljnom validacijom u različitim korisničkim okruženjima.

U nedavnoj izjavi, kompanija Microsoft je priznala važnost robusne zaštite u svojim ažuriranjima i naglasila da ažuriranje za CVE-2025-53770 uključuje sveobuhvatnije mjere zaštite od prethodnih ispravki. Iako ovo može pružiti izvjesnu sigurnost, ostaje nejasno da li će ove nove mjere biti dovoljne da spriječe buduće eksploatacije.

 

ZLONAMJERNI AKTERI

Kao što je već rečeno, kompanija Microsoft je ovaj napad pripisala grupama koje sponzoriše kineska država i to konkretno grupama: Linen Typhoon, Violet Typhoon i Storm-2603.

 

“Već 7. jula 2025. godine, analiza kompanije Microsoft sugeriše da su zlonamjerni akteri pokušavali da iskoriste CVE-2025-49706 i CVE-2025-49704 kako bi dobili početni pristup ciljanim organizacijama. Ovi akteri uključuju kineske državne aktere Linen Typhoon i Violet Typhoon i još jednog aktera sa sjedištem u Kini, Storm-2603. TTP-ovi korišteni u ovim eksploatacionim napadima poklapaju se sa prethodno primijećenim aktivnostima ovih zlonamjernih aktera.”

– Microsoft –

 

Linen Typhoon

Linen Typhoon je kineska sajber špijunska grupa poznata po tome što djeluje od 2012. godine, a poznata je još pod nazivima: APT27, Bronze Union, Emissary Panda, Iodine, Lucky Mouse, Red Phoenix, UNC215, Budworm i TG3390.

Poreklom iz kontinentalne Kine, Linen Typhoon je povezan sa aktivnostima koje sponzoriše država, a usmjerenim na vladine agencije, izvođače radova u oblasti odbrane, organizacije za ljudska prava i krađu intelektualne svojine. Operacije ove grupe su se vremenom razvijale, pomjerajući fokus sa početnih napada na kineske mete na globalne kampanje različitih sektora. Značajne kampanje uključuju operaciju CLOUD HOPPER u periodu 2017-2018 godina, gdje je su cilj bile vlade jugoistočne Azije koristeći spearphishing elektronske poruke sa zlonamjernim prilozima koji sadrže zlonamjerni softver TSCookie.

Linen Typhoon je takođe poznat po iskorišćavanju ranjivosti u Microsoft SharePoint serverima kako bi dobili pristup ključevima za šifrovanje i eskalirali privilegije, kao što se vidjelo u nedavnim napadima na organizacije u više sektora i geografskih područja. Njihove tipične metode uključuju taktike društvenog inženjeringa kao što su phishing i pretvaranje (eng. pretexting), korištenje posebno razvijenog zlonamjernog softvera poput TSCookie i PlugX, kao i distribuciju putem kompromitovanih platformi, uključujući Windows Update i Microsoft Office macroa.

Linen Typhoon ima tendenciju da cilja industrije povezane sa vladom, odbranom, ljudskim pravima i intelektualnom svojinom, često koristeći svoj pristup osjetljivim informacijama za špijunažu, a ne za finansijsku dobit. Njihove jedinstvene sposobnosti uključuju sposobnost dugoročnog održavanja prisustva na ciljanim sistemima, što ih čini ozbiljnom prijetnjom u okruženju sajber špijunaže.

 

Violet Typhoon

Violet Typhoon je sofisticirana grupa za sajber špijunažu za koju se zna da djeluje od 2015. godine, a poznata je još pod nazivima: APT31, Judgment Panda, Bronze Vinewood, Zirconium, Red Keres, TA412 i Group G0128.

Grupa je prvenstveno usmjerena na bivše vladine i vojne službenike, nevladine organizacije (NVO), istraživačke centre, visokoškolske ustanove, digitalne i štampane medije, finansijska preduzeća i kompanije povezane sa zdravstvom u Sjedinjenim Američkim Državama, Evropi i Istočnoj Aziji. Sumnja se da je ovaj zlonamjerni akter sa sjedištem u Kini, ali nema jasne veze sa državnim ili nedržavnim entitetima, međutim njihove aktivnosti su usko povezane sa aktivnostima drugih kineskih nacionalno sponzorisanih grupa.

Operacije Violet Typhoon grupe su se vremenom razvijale i fokusirale se na iskorištavanje ranjivosti u izloženoj internet infrastrukturi, stalno skeniranje slabosti i instaliranje internet skripti za daljinski pristup kako bi dobili neovlašteni pristup osjetljivim informacijama. Primjetno je da su sproveli velike kampanje usmjerene na bivše vladine zvaničnike, nevladine organizacije, istraživačke centre i visokoškolske ustanove, često koristeći spear-phishing napade ili kompromitujući SharePoint okruženja za raspoređivanje zlonamjernog softvera i krađu intelektualne svojine.

Violet Typhoon takođe teži da cilja organizacije u finansijskom sektoru, sa fokusom na krađu Windows MachineKeys direktorijuma koje sadrže kriptografske ključeve. Međutim, izgleda da su njihove sumnjive motivacije usredsređene na špijunažu, a ne na finansijsku dobit.

Jedinstvena karakteristika ove grupe leži u njenoj sposobnosti da stalno skenira ranjivosti i iskorištava ih koristeći internet skripte za daljinski pristup, što je izdvaja od drugih prijetnji koje se više oslanjaju na društveni inženjering ili taktike raspoređivanja zlonamjernog softvera.

 

Storm-2603

Storm-2603 je prijetnja za koju se može reći sa srednjim novom pouzdanosti sa sjedištem u Kini koju prati kompanija Microsoft, bez identifikovanih veza sa drugim poznatim kineskim prijetnjama. Ciljevi grupe ostaju nejasni uprkos primijećenim pokušajima krađe MachineKeys direktorijuma putem lokalnih ranjivosti SharePoint okruženja i raspoređivanja Warlock i Lockbit ucjenjivačkog softvera (eng. ransomware) u prošlosti.

Istorijski gledano, Storm-2603 je bio povezan sa iskorišćavanjem postojećih ranjivosti radi napada putem inficiranih internet stranica (eng. drive-by compromises), stalnim skeniranjem izložene internet infrastrukture ciljnih organizacija u potrazi za ranjivostima i instaliranjem internet skripti za daljinski pristup nakon otkrivanja. Ovaj način djelovanja podsjeća na prijetnje poput Violet Typhoon.

Pojava Storm-2603 datira od početka 2025. godine, kada ih je kompanija Microsoft počela pratiti, a od tada, njihove operacije su evoluirale tako da uključuju skeniranje i napad na lokalne SharePoint servere, zaobilaženjem autentifikacije i korištenjem zlonamjernih skripti za krađu osjetljivih kriptografskih ključeva. Tipične metode grupe uključuju kompromitovanje platformi putem postojećih ranjivosti, sa fokusom na ciljanje industrija kao što su finansije, zdravstvene usluge, digitalni mediji, obrazovanje i vlada.

Motivi grupe Storm-2603 su nejasni, ali s obzirom na primijećeno iskorištavanje ranjivosti SharePoint okruženja, moguće je da su špijunaža ili krađa intelektualne svojine pokretačke snage iza njihovih aktivnosti. Međutim, bez dodatnih informacija o njihovim ciljevima, ostaje teško utvrditi konkretnu motivaciju.

 

“Vladine agencije postale zavisne od kompanije koja ne samo da ne mari za bezbjednost, već zarađuje milijarde dolara prodajom premijum usluga sajber bezbjednost kako bi riješila nedostatke u svojim proizvodima. Svaki hakerski napad izazvan Microsoft nemarnošću rezultira povećanjem vladinih troškova za Microsoft usluge sajber bezbjednosti.”

Senator Ron Wyden (D-OR)

 

FUNKCIONISANJE NAPADA

Kao što je rečeno ranije, demonstracija ToolShell lanca eksploatacije i reakcija kompanije Microsoft objavom ažuriranja na dvije iskorištene ranjivosti nije bio kraj za ToolShell. Sada je u srži ToolShell lanca eksploatacije ranjivost koja omogućava nepravilnu deserijalizaciju nepouzdanih podataka, što omogućava zlonamjernom akteru da izvršava proizvoljni kôd preko mreže bez ikakve interakcije sa korisnikom. Lanac eksploatacije koristi ranjivost CVE-2025-53770 što mu omogućava da kombinuje mogućnosti zaobilaženja autentifikacije i daljinsko pokretanje zlonamjernog kôda.

Ova strategija napada uključuje ne samo dobijanje privremenog pristupa, već i preuzimanje kriptografskih ključeva servera, tačnije ValidationKey i DecryptionKey. Posjedovanje ovih ključeva omogućava zlonamjernim akterima da nezavisno falsifikuju tokene za autentifikaciju i korisne podatke (eng. payloads) __VIEWSTATE, dajući im trajni pristup koji može da preživi standardne strategije ublažavanja. Lanac ToolShell eksploatacije odvija se u tri faze:

  • Zaobilaženje autentifikacije: Napad počinje POST zahtjevom poslatim na krajnju tačku /_layouts/15/ToolPane.aspx, koristeći ranjivost CVE-2025-53771. Ova ranjivost omogućava napadaču da preskoči provjere autentifikacije i dobije privilegovan pristup;
  • Daljinsko izvršavanje kôda putem deserijalizacije: Uz autentifikovani pristup, zlonamjerni akter može komunicirati sa aspx krajnjom tačkom i poslati zlonamjerni korisni teret unutar POST zahteva. Time se aktivira glavna ranjivost: neispravna deserializacija koja pretvara podatke u izvršivi kôd na serveru;
  • Dugoročna strategija i posjedovanje kriptografskih ključeva: Konačno, da bi održao kontinuirani pristup, zlonamjerni akter će koristiti specifičnu internet skriptu za daljinski pristup da bi ukrao kriptografske ključeve servera – tačnije ValidationKey i DecryptionKey.

Posjedovanjem kriptografskih mašinskih ključeva, zlonamjerni akteri mogu da održe kontinuirani pristup i izvršavaju nove zlonamjerne dodatke na iskorištenom serveru. Kao odgovori, neophodno je razumjeti ovu metodologiju i prilagoditi bezbjednosne mjere u skladu sa tim kako bi se spriječili ovi napadi.

 

CISA ROK ZA ISPRAVLJANJE

Agencija za sajber bezbjednost i sigurnost infrastrukture (eng. Cybersecurity and Infrastructure Security Agency – CISA) Sjedinjenih Američkih Država je 22. jula 2025. godine dodala dvije kritične ranjivosti u KEV katalog sa neviđenim rokom za sanaciju postavljenim na samo jedan dan kasnije. Ovaj agresivni vremenski okvir odražava ozbiljnost aktivne eksploatacije i kritičnu prirodu ovih bezbjednosnih propusta.

Agencija za sajber bezbjednost i sigurnost infrastrukture (CISA) je izdala posebne smjernice u skladu sa obavezujućom operativnom direktivom (eng. Binding Operational Directive – BOD) 22-01, zahtjevajući od saveznih agencija da odmah riješe ove bezbjednosne nedostatke. Ova direktiva naglašava kritičnu važnost brzog otklanjanja problema i služi kao model za druge organizacije koje žele da ublaže slične ranjivosti.

 

“CISA je svjesna aktivnog iskorištavanja lanca ranjivosti lažnog predstavljanja i izvršavanja udaljenog kôda koji uključuje CVE-2025-49706 i CVE-2025-49704, omogućavajući neovlašteni pristup lokalnim SharePoint serverima.”

– CISA –

 

Organizacije koje koriste verzije SharePoint okruženja na kraju životnog vijeka (eng. end-of-life – EOL) ili na kraju usluge (eng. end-of-service – EOS), uključujući SharePoint Server 2013 i ranija izdanja koja više ne dobijaju bezbjednosne ispravke, posebno su ranjive. Agencija za sajber bezbjednost i sigurnost infrastrukture (CISA) naglašava potrebu za potpunim isključivanjem ovih nasljeđenih sistema iz javno dostupnih mreža.

Za podržane verzije SharePoint okruženja, organizacije moraju da primjene najnovije bezbjednosne ispravke i da prate sveobuhvatne smjernice kompanije Microsoft za ublažavanje problema. Ovaj pristup uključuje višeslojnu strategiju koja uključuje poboljšane procese provjere autentifikacije i ojačane protokole mrežne komunikacije kako bi se spriječili pokušaji lažnog predstavljanja.

Međutim, za sisteme na kraju životnog vijeka (EOL), kao što je SharePoint Server 2013, jedina održiva opcija je potpuno isključivanje iz mrežnog pristupa. Ova drastična mjera naglašava ozbiljnost ovih ranjivosti i služi kao dobar podsjetnik da se organizacije više ne mogu osloniti na zastarele sisteme da obezbijede adekvatnu bezbjednost.

Uputstva agencije za ublažavanje pozivaju se na više Microsoft bezbjednosnih savjeta i baza podataka o ranjivostima, uključujući Centar za bezbjednosne odgovore kompanije Microsoft (eng. Microsoft Security Response Center – MSRC) i Nacionalna baza podataka o ranjivostima (eng. National Vulnerability Database – NVD). Ovi resursi služe kao vrijedan vodič za organizacije koje žele da blagovremeno riješe ove ranjivosti.

 

UTICAJ

Za mnoge organizacije širom svijeta, proteklih nekoliko dana predstavljaju ostvarenje najcrnijih noćnih mora. Iskorištavanje ranjivosti u Microsoft SharePoint okruženju od strane kineskih zlonamjernih aktera rezultiralo je ozbiljnim bezbjednosnim propustima, ugrožavanjem osjetljivih podataka i poremećajem poslovnih operacija.

Uticaj ovih napada je dubok — finansijski gubici, šteta po reputaciju i preusmjeravanje resursa sa osnovnih aktivnosti na upravljanje krizom. Za pojedine organizacije, posljedice mogu biti nepopravljive, sa dugoročnim efektima koji se šire izvan okvira pojedinačnih preduzeća, pogađajući čitave industrije i države.

Kako sigurnosni istraživači dublje analiziraju situaciju, postaje jasno da su u ovim napadima učestvovali zlonamjerni akteri pod državnim pokroviteljstvom. To izaziva ozbiljnu zabrinutost u vezi sa njihovim motivacijama i potencijalnim implikacijama po globalnu bezbjednost i međunarodne odnose.

Ljudska cijena ove sajber prijetnje je značajna — zaposleni su primorani na prekovremeni rad kako bi otklonili bezbjednosne propuste, finansijski gubici rastu iz dana u dan, a narušena reputacija ugrožava dugoročnu održivost poslovanja.

Dok se organizacije kreću kroz ovaj složen bezbjednosni pejzaž, jedno je sve jasnije: iskorištavanje ranjivosti u SharePoint okruženju razotkrilo je kritičnu slabost u globalnoj sajber odbrani. Ostaje da se vidi kako će organizacije i vlade odgovoriti na ove izazove.

Posljedice ove prijetnje su dalekosežne — sa potencijalnim uticajem koji nadilazi granice pojedinačnih preduzeća, zahvatajući čitave sektore i države.

 

ZAKLJUČAK

Iskorištavanje ranjivosti u Microsoft SharePoint okruženju od strane kineskih zlonamjernih aktera dokumentovano je kroz višestruke tehničke izvještaje, obavještajne podatke o prijetnjama i analize bezbjednosnih stručnjaka. Identifikovane ranjivosti nultog dana, koje direktno ugrožavaju SharePoint serversku infrastrukturu, omogućavaju zaobilaženje standardnih mehanizama autentifikacije, kao i zloupotrebu kritičnih propusta u procesu nebezbjedne deserijalizacije. Ove tehničke slabosti pružaju mogućnost izvršavanja udaljenog kôda bez autentifikacije, čime se otvara put ka kompromitovanju povjerljivih i osjetljivih informacija u lokalnim mrežnim okruženjima.

Detaljna forenzička analiza otkriva da se navedene ranjivosti eksploatišu zajedno s naprednim zlonamjernim alatima, skriptama i tehnikama maskiranja prisustva, što jasno ukazuje na visoko sofisticiran vektor napada. Primjena takvih metoda od strane zlonamjernih aktera povezanih s kineskom sajber infrastrukturom nagovještava postojanje strateški koordinisanih napora, usmjerenih ka kompromitovanju ključnih informatičkih sistema u različitim državama i sektorima.

Ovakva eskalacija sajber prijetnji ima dalekosežne posljedice na ukupno stanje globalne sajber bezbjednosti, te dodatno naglašava kritičnu potrebu za proaktivnim upravljanjem ispravkama, kontinuiranim procesima otklanjanja ranjivosti i uspostavljanjem robusne bezbjednosne politike u svim organizacijama koje koriste SharePoint platformu.

Prema aktuelnim obavještajnim podacima, značajan broj zlonamjernih grupa trenutno aktivno koristi ovu ranjivost kao integralni dio svojih kompleksnih strategija napada, čime se dodatno povećava rizik po sajber integritet i dostupnost resursa. Stoga je neophodno da bezbjednosni timovi uspostave sveobuhvatne mehanizme nadgledanja, uključujući detaljno praćenje mrežnog saobraćaja, sistemskih zapisa, te implementaciju automatizovanih sistema otkrivanja.

Neprekidna zloupotreba SharePoint ranjivosti od strane organizovanih zlonamjernih entiteta dodatno podcrtava urgentnu potrebu za redovnim ažuriranjem bezbjednosnih protokola, edukacijom kadrova, kao i unapređenjem tehničke i administrativne zaštite digitalne infrastrukture, kako bi se efikasno spriječili budući napadi sličnog karaktera.

 

MICROSOFT ODGOVOR

Kao odgovor na SharePoint ranjivosti, kompanija Microsoft je izdala hitne ispravke za podržane verzije SharePoint servera. Ažuriranja, koja uključuju KB5002754 za SharePoint Server 2019, KB5002768 za SharePoint Subscription Edition i ispravku KB5002760 za SharePoint 2016, sadrže “robusniju zaštitu” od početnih julskih ispravki.

Ova najnovija ažuriranja fokusiraju se na zatvaranje vektora zaobilaženja i poboljšanje provjere sesija i rukovanja deserijalizacijom. Ovaj naglasak na bezbjednosnim poboljšanjima naglašava posvećenost kompanije Microsoft zaštiti svojih kupaca od novih prijetnji.

Organizacijama koje koriste podržane verzije SharePoint servera savjetuje se da odmah primjene ova ažuriranja kako bi osigurale da njihova okruženja ostanu bezbjedna. Na taj način će moći da spriječe neovlašteni pristup i zaštite osjetljive informacije od ugrožavanja.

Iako je primjena ispravki ključni korak u rješavanju ranjivosti, sama po sebi možda neće poništiti štetu ako je zlonamjerni akter već dobio pristup serveru. U takvim slučajevima, organizacije moraju preduzeti dodatne korake kako bi osigurale bezbjednost svojih okruženja. Prva od ovih mjera uključuje rotiranje ASP.NET mašinskih ključeva.

Rotiranje ASP.NET mašinskih ključeva zahteva resetovanje postojećih vrijednosti i generisanje novih vrijednosti ValidationKey i DecryptionKey. Ovaj proces čini sve ukradene podatke za prijavu beskorisnim, čime se sprečavavaju zlonamjerni akteri da ih koriste u zlonamjerne svrhe. Da bi izvršili ovaj zadatak, administratori moraju da pristupe IIS Manager konzoli, da se kreću do odjeljka Application Pools, da izaberu odgovarajući pool, da kliknu na Advanced Settings, a zatim ažuriraju Machine Key podešavanja.

Nakon što se mašinski ključevi rotiraju, organizacije bi trebalo da traže internet skriptu za daljinski pristup u svojim SharePoint okruženjima. Ovo uključuje pretragu neobičnih ASPX datoteka ili aspx u layouts direktorijumu. Prisustvo takvih datoteka može ukazivati na to da je zlonamjerni akter već ugrozio server, što zahteva dalju istragu kako bi se utvrdio obim štete i sprovele korektivne mjere.

Još jedan kritičan korak u ublažavanju ranjivosti je omogućavanje integracije Antimalware Scan Interface (AMSI) u SharePoint okruženjima. Omogućavanjem AMSI integracije, organizacije mogu da otkriju zlonamjerne skripte tokom izvršavanja, čime sprečavaju zlonamjerne aktere da ih izvršavaju u ovim okruženjima. Ovaj proaktivni pristup pomaže da se osigura da osjetljive informacije ostanu bezbjedne čak i u slučajevima kada je zlonamjerni akter već dobio pristup serveru.

Konačno, organizacije moraju da skeniraju u potrazi za abnormalnim ponašanjem procesa u svojim SharePoint okruženjima. Ovo uključuje istraživanje da li su EXE datoteke pokrenule sumnjive procese kao što su w3wp.execmd.exepowershell.exe -EncodedCommand. Ovakvi obrasci često ukazuju na aktivnosti nakon eksploatacije i zahtevaju dalja istraživanja kako bi se utvrdio obim štete.

Na ovaj način administratori će moći da rano identifikuju potencijalne bezbjednosne probleme i preduzmu korektivne mjere prije nego što zlonamjerni akteri imaju priliku da ih dalje iskoriste.

 

PREPORUKE

  1. Organizacije moraju dati prioritet trenutnoj sanaciji kritičnih SharePoint ranjivosti kako bi održale svoj bezbjednosni položaj. Upotreba ovih ranjivosti u kampanjama ucjenjivačkog softvera ostaje nepoznata, ali su aktivni pokušaji eksploatacije identifikovani u poslovnim okruženjima. Upotreba lanca ranjivosti nazvanog ToolShell od strane zlonamjernih aktera dodatno naglašava potrebu za brzom akcijom kako bi se spriječio neovlašteni pristup. Kao rezultat toga, organizacije koje ne primjene ispravke suočavaju se sa potencijalnim ugrožavanjima i povećanim rizicima po sajber bezbjednost. Organizacije moraju bez odlaganja sprovesti preporučene mjere ublažavanja, jer aktivni status eksploatacije ovih ranjivosti čini ih metama visokog prioriteta za hitnu sanaciju;
  2. Bezbjednosni timovi treba da sprovedu temeljne procjene ranjivosti kako bi identifikovali sve postojeće slabosti povezane sa CVE-2025-49706 i CVE-2025-49704. Ovo će omogućiti organizacijama da preduzmu proaktivne mjere za ublažavanje potencijalnih napada prije nego što se dogode;
  3. Implementacija segmentacije mreže je ključna u sprečavanju bočnog kretanja zlonamjernog aktera unutar internih mreža organizacije. Izolovanjem osjetljivih podataka i kritične infrastrukture od ostatka mreže, organizacije mogu ograničiti uticaj uspješnog napada;
  4. Redovne bezbjednosne revizije treba sprovoditi kako bi se identifikovale potencijalne ranjivosti i slabosti koje bi zlonamjerni akteri mogli da iskoriste. Ovo će omogućiti organizacijama da preduzmu proaktivne mjere za rješavanje ovih problema prije nego što postanu veliki problemi;
  5. Implementacija autentifikaciju u više koraka (eng. multi-factor authentication – MFA) je neophodna u sprečavanju neovlaštenog pristupa SharePoint serverima, čak i ako je zlonamjerni akter dobio važeće podatke za prijavu na druge načine. Zahtevanjem više oblika provjere prava pristupa, kao što su lozinke i biometrijski podaci, organizacije mogu značajno smanjiti rizik od uspješnih napada;
  6. Praćenje mrežnog saobraćaja u potrazi za sumnjivim aktivnostima omogućiće timovima za bezbjednost da brzo identifikuju potencijalne prijetnje prije nego što eskaliraju u veće incidente. Ovo bi trebalo da uključuje praćenje zapisa sa SharePoint servera, zaštitnih zidova i drugih kritičnih komponenti infrastrukture;
  7. Planovi odgovora na sajber prijetnju moraju se implementirati u slučaju uspješnog napada ili sumnje na kompromitovanje. Ovi planovi treba da definišu procedure za obuzdavanje, iskorjenjivanje, oporavak i aktivnosti nakon incidenta kako bi se smanjilo vrijeme zastoja i osigurao kontinuitet poslovanja;
  8. Redovna obuka o praksama bezbjednosti je neophodna u edukaciji zaposlenih o potencijalnim prijetnjama i ranjivostima vezanim za SharePoint Ovo će omogućiti organizacijama da održavaju kulturu sajber bezbjednosti koja naglašava važnost budnosti i odgovornog ponašanja prilikom interakcije sa osjetljivim podacima;
  9. Implementacija robusnih procedura za pravljenje rezervnih kopija i oporavak obezbijediće kontinuitet poslovanja čak i ako napad rezultira značajnim zastojem ili gubitkom podataka. Treba redovno praviti rezervne kopije, a njih treba bezbjedno čuvati kako bi se spriječio neovlašteni pristup zlonamjernim akterima;
  10. SharePoint serveri moraju biti konfigurisani imajući u vidu najbolje bezbjednosne prakse, uključujući upotrebu bezbjednih protokola za komunikaciju i redovna ažuriranja kako bi se osiguralo da su sve poznate ranjivosti otklonjene;
  11. Implementacija strogih kontrola pristupa spriječiće neovlaštene korisnike da pristupe osjetljivim podacima ili kritičnim komponentama infrastrukture unutar SharePoint Ovo bi trebalo da uključuje implementaciju politika kontrole pristupa zasnovanih na ulogama i redovno preispitivanje korisničkih dozvola kako bi se identifikovale potencijalne slabosti;
  12. Redovno penetracijsko testiranje je neophodno za identifikaciju ranjivosti koje možda nisu odmah očigledne na druge načine (npr. skeniranjem ranjivosti). Simulirajući napade na sisteme organizacije, bezbjednosni timovi mogu steći vrijedne uvide u efikasnost postojeće odbrane i dati preporuke za poboljšanje.

Zbog svega navedenog, ovdje je naglašena važnost hitne sanacije, temeljnih procjena ranjivosti, primjene preporučenih mjera za ublažavanje bez odlaganja, osiguravanja da su SharePoint serveri ažurirani i sprovođenja redovnih bezbjednosnih revizija kako bi se spriječilo zlonamjerno korištenje kritičnih ranjivosti od strane zlonamjernih aktera.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.