{"id":8212,"date":"2025-07-25T18:25:13","date_gmt":"2025-07-25T16:25:13","guid":{"rendered":"https:\/\/sajberinfo.com\/?p=8212"},"modified":"2025-07-25T18:25:13","modified_gmt":"2025-07-25T16:25:13","slug":"opasne-sharepoint-ranjivosti-se-aktivno-iskoristavaju","status":"publish","type":"post","link":"https:\/\/sajberinfo.com\/en\/2025\/07\/25\/opasne-sharepoint-ranjivosti-se-aktivno-iskoristavaju\/","title":{"rendered":"Opasne SharePoint ranjivosti se aktivno iskori\u0161tavaju"},"content":{"rendered":"<p>U petak, 18. jula, <a href=\"https:\/\/www.microsoft.com\/en-us\/security\/blog\/2025\/07\/22\/disrupting-active-exploitation-of-on-premises-sharepoint-vulnerabilities\/\" target=\"_blank\" rel=\"noopener\">iskori\u0161tena<\/a> je ranije nepoznata ranjivost <a href=\"https:\/\/sajberinfo.com\/2023\/04\/11\/zero-day\/\" target=\"_blank\" rel=\"nofollow noopener\">nultog dana<\/a> u softveru <em>Microsoft<\/em> <em>SharePoint<\/em>, \u0161to je uticalo na Ministarstvo energetike i njegovu poluautonomnu Nacionalnu administraciju za nuklearnu bezbjednost. Ovaj napad je ozna\u010dio jedan od nekoliko slu\u010dajeva u kojima su <a href=\"https:\/\/sajberinfo.com\/2022\/03\/19\/hakeri-crni-sesiri-epizoda-3\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjerni akteri<\/a> iskoristili ranjivosti u lokalnim implementacijama <em>SharePoint<\/em> servera kako bi dobili neovla\u0161teni pristup vladinim sistemima.<\/p>\n<div id=\"attachment_8213\" style=\"width: 1034px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-8213\" class=\"size-full wp-image-8213\" src=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/07\/SharePoint-Servers-0-Day-Vulnerability.jpg\" alt=\"SharePoint\" width=\"1024\" height=\"1024\" srcset=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/07\/SharePoint-Servers-0-Day-Vulnerability.jpg 1024w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/07\/SharePoint-Servers-0-Day-Vulnerability-300x300.jpg 300w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/07\/SharePoint-Servers-0-Day-Vulnerability-150x150.jpg 150w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/07\/SharePoint-Servers-0-Day-Vulnerability-768x768.jpg 768w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/07\/SharePoint-Servers-0-Day-Vulnerability-12x12.jpg 12w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/07\/SharePoint-Servers-0-Day-Vulnerability-80x80.jpg 80w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/07\/SharePoint-Servers-0-Day-Vulnerability-320x320.jpg 320w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><p id=\"caption-attachment-8213\" class=\"wp-caption-text\"><em>Opasne SharePoint ranjivosti se aktivno iskori\u0161tavaju; Source: Bing Image Creator &#8211; Edit Sa\u0161a \u0110uri\u0107<\/em><\/p><\/div>\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_82_2 counter-hierarchy ez-toc-counter ez-toc-custom ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Sadr\u017eaj<\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Toggle Table of Content\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #ffffff;color:#ffffff\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewBox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #ffffff;color:#ffffff\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewBox=\"0 0 24 24\" version=\"1.2\" baseProfile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/sajberinfo.com\/en\/2025\/07\/25\/opasne-sharepoint-ranjivosti-se-aktivno-iskoristavaju\/#SHAREPOINT_RANJIVOSTI\">SHAREPOINT RANJIVOSTI<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/sajberinfo.com\/en\/2025\/07\/25\/opasne-sharepoint-ranjivosti-se-aktivno-iskoristavaju\/#Razmjere_napada\">Razmjere napada<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/sajberinfo.com\/en\/2025\/07\/25\/opasne-sharepoint-ranjivosti-se-aktivno-iskoristavaju\/#Ranjivosti\">Ranjivosti<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/sajberinfo.com\/en\/2025\/07\/25\/opasne-sharepoint-ranjivosti-se-aktivno-iskoristavaju\/#Kako_je_Microsoft_dopustio_ovo\">Kako je Microsoft dopustio ovo?<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/sajberinfo.com\/en\/2025\/07\/25\/opasne-sharepoint-ranjivosti-se-aktivno-iskoristavaju\/#ZLONAMJERNI_AKTERI\">ZLONAMJERNI AKTERI<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-6\" href=\"https:\/\/sajberinfo.com\/en\/2025\/07\/25\/opasne-sharepoint-ranjivosti-se-aktivno-iskoristavaju\/#Linen_Typhoon\">Linen Typhoon<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-7\" href=\"https:\/\/sajberinfo.com\/en\/2025\/07\/25\/opasne-sharepoint-ranjivosti-se-aktivno-iskoristavaju\/#Violet_Typhoon\">Violet Typhoon<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-8\" href=\"https:\/\/sajberinfo.com\/en\/2025\/07\/25\/opasne-sharepoint-ranjivosti-se-aktivno-iskoristavaju\/#Storm-2603\">Storm-2603<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-9\" href=\"https:\/\/sajberinfo.com\/en\/2025\/07\/25\/opasne-sharepoint-ranjivosti-se-aktivno-iskoristavaju\/#FUNKCIONISANJE_NAPADA\">FUNKCIONISANJE NAPADA<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-10\" href=\"https:\/\/sajberinfo.com\/en\/2025\/07\/25\/opasne-sharepoint-ranjivosti-se-aktivno-iskoristavaju\/#CISA_ROK_ZA_ISPRAVLJANJE\">CISA ROK ZA ISPRAVLJANJE<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-11\" href=\"https:\/\/sajberinfo.com\/en\/2025\/07\/25\/opasne-sharepoint-ranjivosti-se-aktivno-iskoristavaju\/#UTICAJ\">UTICAJ<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-12\" href=\"https:\/\/sajberinfo.com\/en\/2025\/07\/25\/opasne-sharepoint-ranjivosti-se-aktivno-iskoristavaju\/#ZAKLJUCAK\">ZAKLJU\u010cAK<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-13\" href=\"https:\/\/sajberinfo.com\/en\/2025\/07\/25\/opasne-sharepoint-ranjivosti-se-aktivno-iskoristavaju\/#MICROSOFT_ODGOVOR\">MICROSOFT ODGOVOR<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-14\" href=\"https:\/\/sajberinfo.com\/en\/2025\/07\/25\/opasne-sharepoint-ranjivosti-se-aktivno-iskoristavaju\/#PREPORUKE\">PREPORUKE<\/a><\/li><\/ul><\/nav><\/div>\n\n<h2><span class=\"ez-toc-section\" id=\"SHAREPOINT_RANJIVOSTI\"><\/span><strong><em>SHAREPOINT<\/em> RANJIVOSTI<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><em>SharePoint<\/em> se odnosi na <em>Microsoft<\/em> <em>SharePoint<\/em> softver za upravljanje dokumentima, koji omogu\u0107ava organizacijama da skladi\u0161te i upravljaju digitalnim sadr\u017eajem kao \u0161to su dokumenti, datoteke i drugi <a href=\"https:\/\/sajberinfo.com\/2023\/04\/16\/podaci-uvod-epizoda-1\/\" target=\"_blank\" rel=\"nofollow noopener\">podaci<\/a>. U kontekstu <a href=\"https:\/\/sajberinfo.com\/2018\/12\/23\/sajber-bezbjednost\/\" target=\"_blank\" rel=\"nofollow noopener\">sajber bezbjednosti<\/a>, <em>SharePoint<\/em> se \u010desto koristi u lokalnim okru\u017eenjima za saradnju i dijeljenje informacija.<\/p>\n<p>Sada je u <em>SharePoint<\/em> serveru iskori\u0161tena ranjivost nultog dana, koja omogu\u0107ava zlonamjernim akterima da izvr\u0161avaju udaljeni k\u00f4d bez autentifikacije. Ova ranjivost omogu\u0107ava trajno raspore\u0111ivanje <a href=\"https:\/\/sajberinfo.com\/2021\/09\/26\/malware\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjernog softvera<\/a> i kra\u0111u osjetljivih podataka.<\/p>\n<p>Kompanija <em>Microsoft <\/em>je ovaj napad pripisala grupama koje sponzori\u0161e kineska dr\u017eava kao glavne zlonamjerne aktere odgovorne za iskori\u0161tavanje ranjivosti <em>SharePoint<\/em> servera. Kineski zlonamjerni akteri su posljednjih godina povezane sa raznim sajber napadima<sup><a href=\"https:\/\/sajberinfo.com\/2024\/12\/22\/salt-typhoon-cilja-telekom-kompanije\/\" target=\"_blank\" rel=\"nofollow noopener\">1<\/a>,<a href=\"https:\/\/sajberinfo.com\/2024\/02\/19\/volt-typhoon-u-kriticnim-sistemima\/\" target=\"_blank\" rel=\"nofollow noopener\">2<\/a><\/sup>, \u0161to isti\u010de njihove kontinuirane napore da iskoriste slabosti u upravljanju lokalnom infrastrukturom.<\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Razmjere_napada\"><\/span><strong>Razmjere napada<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>Obim uticaja ranjivosti prote\u017ee se daleko izvan Ministarstva energetike Sjedinjenih Ameri\u010dkih Dr\u017eava, ugro\u017eavaju\u0107i sisteme kojima upravljaju vi\u0161estruki vladini entiteti i organizacije. Nacionalne vlade u Evropi i na Bliskom istoku bile su me\u0111u pogo\u0111enima, \u0161to isti\u010de globalnu prirodu ovog incidenta. Pored ovih me\u0111unarodnih meta, \u017ertve napada su postale i ministarstva sa sjedi\u0161tem u Sjedinjenim Ameri\u010dkim Dr\u017eavama, kao \u0161to su Ministarstvo prosvjete, Ministarstvo prihoda Floride i Generalna skup\u0161tina Roud Ajlenda.<\/p>\n<p>Koordinirani napad je omogu\u0107en iskori\u0161\u0107avanjem tehni\u010dkih ranjivosti u <em>SharePoint<\/em> server sistemima kojima se upravlja lokalno, a ne u implementacijama zasnovanim na oblaku. Ova razlika je klju\u010dna, jer nagla\u0161ava bezbjednosne rizike povezane sa upravljanjem softverskom infrastrukturom unutar sopstvene mre\u017ee organizacije.<\/p>\n<p>Kada je rije\u010d o kriti\u010dnoj infrastrukturi, Nacionalna administraciju za nuklearnu bezbjednost (eng. <em>National Nuclear Security Administration \u2013 NNSA<\/em>) je odgovorna za odr\u017eavanje i projektovanje nacionalnog arsenala nuklearnog oru\u017eja Sjedinjenih Ameri\u010dkih Dr\u017eava. Upad u sisteme ove agencije ima zna\u010dajne implikacije po nacionalnu bezbjednost ove zemlje, jer ugro\u017eava kriti\u010dnu infrastrukturu koja podr\u017eava napore protiv terorizma, bezbjedno transportuje nuklearno oru\u017eje \u0161irom zemlje i obezbje\u0111uje reaktore za podmornice mornarice.<\/p>\n<p>Iako nijedna osvetljiva ili klasifikovana informacija nije navodno ugro\u017eena tokom ovog incidenta, <a href=\"https:\/\/sajberinfo.com\/2022\/02\/27\/hakeri-eticki-hakeri-epizoda-2\/\" target=\"_blank\" rel=\"nofollow noopener\">stru\u010dnjaci za sajber bezbjednost<\/a> upozoravaju da \u010dak i pristup poslovnim sistemima predstavlja zna\u010dajan bezbjednosni rizik. Zlonamjerni akteri bi potencijalno mogli da koriste informacije o osoblju dobijene iz ovih mre\u017ea u svrhu dru\u0161tvenog in\u017eenjeringa, olak\u0161avaju\u0107i budu\u0107e \u0161tetnije napade.<\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Ranjivosti\"><\/span><strong>Ranjivosti<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>U maju 2025. godine, sigurnosni istra\u017eiva\u010di su <a href=\"https:\/\/www.zerodayinitiative.com\/blog\/2025\/5\/16\/pwn2own-berlin-2025-day-two-results\" target=\"_blank\" rel=\"noopener\">demonstrirali lanac eksploatacije<\/a> nazvan \u201c<em>ToolShell<\/em>\u201d na hakerskom takmi\u010denju <em>Pwn2Own<\/em>. Ovu metodologija napada je pokazala ozbiljan potencijal za ugro\u017eavanje sistema, primoravaju\u0107i kompaniju <em>Microsoft<\/em> da dodjeli nove identifikatore i izda ispravke za ove ranjivosti:<\/p>\n<ul>\n<li><a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2025-49704\" target=\"_blank\" rel=\"noopener\"><em>CVE-2025-49704<\/em><\/a><strong>:<\/strong> Ova ranjivost predstavlja identifikovanu ranjivost u softveru <em>Microsoft<\/em> <em>SharePoint <\/em>sa <em>CVSS v3<\/em> ocjenom <em>8.<\/em> Konkretno, spada u kategoriju ranjivosti ubrizgavanje k\u00f4da (eng. <em>code injection<\/em>). Ova vrsta ranjivosti omogu\u0107ava zlonamjernim akterima da ubrizgavaju zlonamjerni k\u00f4d u ranjivi sistem. Uspje\u0161na eksploatacija omogu\u0107ava zlonamjernim akterima da izvr\u0161avaju proizvoljni k\u00f4d na pogo\u0111enim sistemima. Ova mogu\u0107nost se mo\u017ee iskoristiti preko mre\u017enih veza, omogu\u0107avaju\u0107i zlonamjernim akterima da daljinski pokre\u0107u zlonamjerni k\u00f4d unutar <em>SharePoint<\/em> okru\u017eenja. Potencijalni uticaj je zna\u010dajan, jer ova ranjivost mo\u017ee dovesti do neovla\u0161tenog pristupa, izmjene podataka ili drugih bezbjednosnih propusta.<\/li>\n<li><a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2025-49706\" target=\"_blank\" rel=\"noopener\"><em>CVE-2025-49706<\/em><\/a><strong>:<\/strong> Ova ranjivost sa <em>CVSS v3<\/em> ocjenom <em>5<\/em> predstavlja ranjivost nepravilne autentifikacije koja poga\u0111a <em>Microsoft<\/em> <em>SharePoint <\/em>server. Ova ranjivost omogu\u0107ava zlonamjernim akterima da la\u017eno predstavljaju legitimne korisnike ili resurse unutar <em>SharePoint<\/em> okru\u017eenja. Uticaj ove ranjivosti je zna\u010dajan, jer omogu\u0107ava neovla\u0161teni pristup i otkrivanje informacija. Uspje\u0161na eksploatacija omogu\u0107ava zlonamjernim akterima da vide osjetljive podatke i izmjene otkriveni sadr\u017eaj bez odgovaraju\u0107eg ovla\u0161tenja. Ovo stvara zna\u010dajne bezbjednosne rizike za pogo\u0111ene organizacije. U kontekstu sajber bezbjednosti, ranjivost je klasifikovana kao problem nepravilne autentifikacije (eng. <em>improper authentication<\/em>), koji se mo\u017ee iskoristiti putem napada la\u017enog predstavljanja preko mre\u017enih veza.<\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n<blockquote><p><em>\u201cOsnovni uzrok [CVE-2025-53770] je kombinacija dvije ranjivosti: zaobila\u017eenja autentifikacije (CVE-2025-49706) i ranjivosti nebezbjedne deserijalizacije (CVE-2025-49704).\u201d<\/em><\/p>\n<p style=\"text-align: right;\"><em>&#8211; <\/em><a href=\"https:\/\/www.akamai.com\/blog\/security-research\/sharepoint-vulnerability-rce-active-exploitation-detections-mitigations\" target=\"_blank\" rel=\"noopener\"><em>Akamai Security Intelligence Group<\/em><\/a><em> &#8211;<\/em><\/p>\n<\/blockquote>\n<p>&nbsp;<\/p>\n<p>Zlonamjerni akteri su su brzo analizirali ispravke kako bi prona\u0161le slabosti i iskoristile ih u praksi, primoravaju\u0107i kompaniju <em>Microsoft<\/em> da dodjeli nove identifikatore:<\/p>\n<ul>\n<li><a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2025-53770\" target=\"_blank\" rel=\"noopener\"><em>CVE-2025-53770<\/em><\/a><strong>:<\/strong> Ova vrsta ranjivost omogu\u0107ava zlonamjernom akteru da izvr\u0161i proizvoljni k\u00f4d na pogo\u0111enom sistemu bez potrebe za interakcijom korisnika. Drugim rije\u010dima, omogu\u0107ava zlonamjernim akterima da daljinski pokre\u0107u zlonamjerni k\u00f4d u <em>SharePoint<\/em> okru\u017eenju, zaobilaze\u0107i tradicionalne bezbjednosne kontrole kao \u0161to su jednokratno prijavljivanje (eng. single <em>sign-on \u2013 SSO<\/em>) i autentifikacija u vi\u0161e koraka (eng. <em>multi-factor authentication \u2013 MFA<\/em>). Uspje\u0161na eksploatacija daje zlonamjernom akteru mogu\u0107nost izvr\u0161avanja proizvoljnih komandi na pogo\u0111enom sistemu, efikasno mu daju\u0107i kontrolu nad <em>SharePoint<\/em> okru\u017eenjem. Ovo se mo\u017ee koristiti u zlonamjerne svrhe kao \u0161to je instaliranje zlonamjernog softvera, kra\u0111a osjetljivih informacija ili ometanje kriti\u010dnih usluga. Stru\u010dnjaci za sajber bezbjednost ocjenjuju ovu ranjivost kao kriti\u010dnu, sa <em>CVSS v3<\/em> ocjenom <em>8<\/em> \u0161to ukazuje na njen visok potencijal za eksploataciju i uticaj na pogo\u0111ene sisteme.<\/li>\n<li><a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2025-53771\" target=\"_blank\" rel=\"noopener\"><em>CVE-2025-53771<\/em><\/a><strong>:<\/strong> Ova ranjivost sa <em>CVSS v3<\/em> ocjenom <em>5<\/em> je klasifikovana kao ranjivost koja podrazumijeva la\u017eno predstavljanje <em>SharePoint<\/em> servera. Ona omogu\u0107ava zlonamjernim akterima da se predstavljaju kao pouzdani i legitimni korisnici ili resursi u <em>SharePoint<\/em> okru\u017eenju. Uspje\u0161na eksploatacija omogu\u0107ava zlonamjernim akterima da obmanu \u017ertve i navedu ih da izvr\u0161e nenamjerne radnje, \u0161to potencijalno mo\u017ee dovesti do neovla\u0161tenog pristupa ili ugro\u017eavanja podataka. Kao kriti\u010dni bezbjednosni rizik, ova ranjivost predstavlja zna\u010dajnu prijetnju za <em>SharePoint<\/em> implementacije u preduze\u0107ima \u0161irom sveta. Zlonamjerni akteri mogu iskoristiti ovu ranjivost da bi stekli po\u010detno upori\u0161te u mre\u017ei, \u0161to mo\u017ee biti odsko\u010dna daska za dalje napade i <a href=\"https:\/\/sajberinfo.com\/2023\/11\/09\/lateral-movement\/\" target=\"_blank\" rel=\"nofollow noopener\">bo\u010dno kretanje<\/a> unutar ugro\u017eenog okru\u017eenja.<\/li>\n<\/ul>\n<p>Ovo je odli\u010dan primjer kako zlonamjerni akteri mogu sistematski da urade obrnuti in\u017einjering bezbjednosnih ispravki kako bi prona\u0161li zaobila\u017eenja, isti\u010du\u0107i potrebu za evoluiraju\u0107im bezbjednosnim stavovima.<\/p>\n<p>&nbsp;<\/p>\n<blockquote><p><em>\u201cIspravke su rijetko potpuno sveobuhvatne, a baze k\u00f4da su slo\u017eene, a implementacije veoma raznovrsne. Zato su ti testovi i procesi regresionog testiranja toliko komplikovani. U idealnom svetu, svi bi koristili najnoviju verziju k\u00f4da, potpuno ispravljenu. O\u010digledno je da to nije mogu\u0107e, pa se razvoj funkcija mora testirati na eksponencijalno komplikovanijoj povr\u0161ini.\u201d<\/em><\/p>\n<p style=\"text-align: right;\"><em>&#8211; <\/em><a href=\"https:\/\/www.bugcrowd.com\/partners\/\" target=\"_blank\" rel=\"noopener\"><em>Trey Ford, Bugcrowd\u2019s CISO<\/em><\/a><em> &#8211;<\/em><\/p>\n<\/blockquote>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Kako_je_Microsoft_dopustio_ovo\"><\/span><strong>Kako je <em>Microsoft<\/em> dopustio ovo?<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>Dana 8. jula, kompanija <em>Microsoft<\/em> je objavila svoja mjese\u010dna a\u017euriranja \u201c<em>Utorak ispravki<\/em>\u201d (eng. <em>Patch Tuesday<\/em>), koja su uklju\u010divala ispravke za <em>CVE-2025-49706<\/em> i <em>CVE-2025-49704<\/em>. Me\u0111utim, kako su izvijestili razli\u010diti izvori, ove ispravke nisu u potpunosti rije\u0161ile ranjivosti u praksi.<\/p>\n<p>A\u017euriranja od 8. jula bila su dio ve\u0107eg napora da se ubla\u017ee rizici povezani sa <em>Microsoft<\/em> okru\u017eenjima. Me\u0111utim, kako se dublje zalazi u slo\u017eenost koja okru\u017euje ove ispravke, postaje o\u010digledno da nema lakih odgovora. Sama veli\u010dina i raznolikost korisni\u010dkih okru\u017eenja ote\u017eavaju kompaniji <em>Microsoft<\/em> (i drugim dobavlja\u010dima) da razviju sveobuhvatne ispravke.<\/p>\n<p>Jedan od glavnih faktora koji doprinosi postojanju bezbjednosnih propusta je sve ve\u0107a slo\u017eenost korisni\u010dkih okru\u017eenja. Kako su primijetili stru\u010dnjaci iz industrije, ispravke rijetko u potpunosti rje\u0161avaju ranjivosti zbog slo\u017eene prirode k\u00f4dnih baza i razli\u010ditih implementacija. Ova slo\u017eenost proizilazi iz potrebe za razvojem funkcija na eksponencijalno komplikovanijim povr\u0161inskim oblastima.<\/p>\n<p>U idealnom svetu, svi korisnici bi koristili najnoviju verziju softvera sa potpunim pokrivanjem ispravki. Na\u017ealost, ovo nije ostvariva realnost. Kao takva, kompanija <em>Microsoft<\/em> se mora nositi sa testiranjem svojih ispravki u razli\u010ditim korisni\u010dkim okru\u017eenjima, svako sa jedinstvenim konfiguracijama i implementacijama. Ova varijabilnost unosi dodatnu slo\u017eenost u proces razvoja, \u0161to sve vi\u0161e ote\u017eava proizvo\u0111a\u010dima poput kompanije <em>Microsoft<\/em> da kreiraju sveobuhvatne ispravke.<\/p>\n<p>Ispravke su su\u0161tinski aspekt odr\u017eavanja bezbjednosti softvera. Me\u0111utim, ova a\u017euriranja rijetko su u potpunosti sveobuhvatna zbog svojih inherentnih ograni\u010denja. Kako su objasnili stru\u010dnjaci iz industrije, ispravke se \u010desto oslanjaju na testne sisteme i procese regresionog testiranja koji mogu biti komplikovani i dugotrajni za izvr\u0161avanje. Ova slo\u017eenost proizilazi iz potrebe za temeljnom validacijom u razli\u010ditim korisni\u010dkim okru\u017eenjima.<\/p>\n<p>U nedavnoj izjavi, kompanija <em>Microsoft<\/em> je priznala va\u017enost robusne za\u0161tite u svojim a\u017euriranjima i naglasila da a\u017euriranje za <em>CVE-2025-53770<\/em> uklju\u010duje sveobuhvatnije mjere za\u0161tite od prethodnih ispravki. Iako ovo mo\u017ee pru\u017eiti izvjesnu sigurnost, ostaje nejasno da li \u0107e ove nove mjere biti dovoljne da sprije\u010de budu\u0107e eksploatacije.<\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZLONAMJERNI_AKTERI\"><\/span><strong>ZLONAMJERNI AKTERI<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Kao \u0161to je ve\u0107 re\u010deno, kompanija <em>Microsoft<\/em> je ovaj napad pripisala grupama koje sponzori\u0161e kineska dr\u017eava i to konkretno grupama: <em>Linen Typhoon<\/em>, <em>Violet Typhoon<\/em> i <em>Storm-2603<\/em>.<\/p>\n<p>&nbsp;<\/p>\n<blockquote><p><em>\u201cVe\u0107 7. jula 2025. godine, analiza kompanije Microsoft sugeri\u0161e da su zlonamjerni akteri poku\u0161avali da iskoriste CVE-2025-49706 i CVE-2025-49704 kako bi dobili po\u010detni pristup ciljanim organizacijama. Ovi akteri uklju\u010duju kineske dr\u017eavne aktere Linen Typhoon i Violet Typhoon i jo\u0161 jednog aktera sa sjedi\u0161tem u Kini, Storm-2603. TTP-ovi kori\u0161teni u ovim eksploatacionim napadima poklapaju se sa prethodno primije\u0107enim aktivnostima ovih zlonamjernih aktera.\u201d<\/em><\/p>\n<p style=\"text-align: right;\"><em>&#8211; Microsoft &#8211;<\/em><\/p>\n<\/blockquote>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Linen_Typhoon\"><\/span><strong><em>Linen Typhoon<\/em><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><em>Linen Typhoon<\/em> je kineska sajber \u0161pijunska grupa poznata po tome \u0161to djeluje od 2012. godine, a poznata je jo\u0161 pod nazivima: <em>APT27<\/em>, <em>Bronze Union<\/em>, <em>Emissary Panda<\/em>, <em>Iodine<\/em>, <em>Lucky<\/em> <em>Mouse<\/em>, <em>Red<\/em> <em>Phoenix<\/em>, <em>UNC215<\/em>, <em>Budworm<\/em> i <em>TG<\/em>&#8211;<em>3390<\/em>.<\/p>\n<p>Poreklom iz kontinentalne Kine, <em>Linen Typhoon<\/em> je povezan sa aktivnostima koje sponzori\u0161e dr\u017eava, a usmjerenim na vladine agencije, izvo\u0111a\u010de radova u oblasti odbrane, organizacije za ljudska prava i kra\u0111u intelektualne svojine. Operacije ove grupe su se vremenom razvijale, pomjeraju\u0107i fokus sa po\u010detnih napada na kineske mete na globalne kampanje razli\u010ditih sektora. Zna\u010dajne kampanje uklju\u010duju operaciju <em>CLOUD<\/em> <em>HOPPER<\/em> u periodu 2017-2018 godina, gdje je su cilj bile vlade jugoisto\u010dne Azije koriste\u0107i <a href=\"https:\/\/sajberinfo.com\/2022\/02\/23\/spear-phishing\/\" target=\"_blank\" rel=\"nofollow noopener\"><em>spear<\/em>&#8211;<em>phishing<\/em><\/a> elektronske poruke sa zlonamjernim prilozima koji sadr\u017ee zlonamjerni softver <em>TSCookie<\/em>.<\/p>\n<p><em>Linen Typhoon<\/em> je tako\u0111e poznat po iskori\u0161\u0107avanju ranjivosti u <em>Microsoft<\/em> <em>SharePoint<\/em> serverima kako bi dobili pristup <a href=\"https:\/\/sajberinfo.com\/2022\/04\/22\/enkripcija-podataka-upravljanje-kljucevima-i-nedostaci-enkripcije-epizoda-3\/\" target=\"_blank\" rel=\"nofollow noopener\">klju\u010devima za \u0161ifrovanje<\/a> i eskalirali privilegije, kao \u0161to se vidjelo u nedavnim napadima na organizacije u vi\u0161e sektora i geografskih podru\u010dja. Njihove tipi\u010dne metode uklju\u010duju taktike dru\u0161tvenog in\u017eenjeringa kao \u0161to su <a href=\"https:\/\/sajberinfo.com\/2022\/01\/02\/phishing-meta-su-ljudi-ne-tehnologija\/\" target=\"_blank\" rel=\"nofollow noopener\"><em>phishing<\/em> <\/a>i pretvaranje (eng. <em>pretexting<\/em>), kori\u0161tenje posebno razvijenog zlonamjernog softvera poput <em>TSCookie<\/em> i <a href=\"https:\/\/sajberinfo.com\/2024\/05\/05\/plugx-crv-se-prilagodjava-da-prezivi\/\" target=\"_blank\" rel=\"nofollow noopener\"><em>PlugX<\/em><\/a>, kao i distribuciju putem kompromitovanih platformi, uklju\u010duju\u0107i <em>Windows Update<\/em> i <em>Microsoft Office<\/em> macroa.<\/p>\n<p><em>Linen Typhoon<\/em> ima tendenciju da cilja industrije povezane sa vladom, odbranom, ljudskim pravima i intelektualnom svojinom, \u010desto koriste\u0107i svoj pristup osjetljivim informacijama za \u0161pijuna\u017eu, a ne za finansijsku dobit. Njihove jedinstvene sposobnosti uklju\u010duju sposobnost dugoro\u010dnog odr\u017eavanja prisustva na ciljanim sistemima, \u0161to ih \u010dini ozbiljnom prijetnjom u okru\u017eenju sajber \u0161pijuna\u017ee.<\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Violet_Typhoon\"><\/span><strong><em>Violet Typhoon<\/em><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><em>Violet<\/em> <em>Typhoon<\/em> je sofisticirana grupa za sajber \u0161pijuna\u017eu za koju se zna da djeluje od 2015. godine, a poznata je jo\u0161 pod nazivima: <em>APT31<\/em>, <em>Judgment<\/em> <em>Panda<\/em>, <em>Bronze<\/em> <em>Vinewood<\/em>, <em>Zirconium<\/em>, <em>Red<\/em> <em>Keres<\/em>, <em>TA412<\/em> i <em>Group<\/em> <em>G0128<\/em>.<\/p>\n<p>Grupa je prvenstveno usmjerena na biv\u0161e vladine i vojne slu\u017ebenike, nevladine organizacije (NVO), istra\u017eiva\u010dke centre, visoko\u0161kolske ustanove, digitalne i \u0161tampane medije, finansijska preduze\u0107a i kompanije povezane sa zdravstvom u Sjedinjenim Ameri\u010dkim Dr\u017eavama, Evropi i Isto\u010dnoj Aziji. Sumnja se da je ovaj zlonamjerni akter sa sjedi\u0161tem u Kini, ali nema jasne veze sa dr\u017eavnim ili nedr\u017eavnim entitetima, me\u0111utim njihove aktivnosti su usko povezane sa aktivnostima drugih kineskih nacionalno sponzorisanih grupa.<\/p>\n<p>Operacije <em>Violet<\/em> <em>Typhoon<\/em> grupe su se vremenom razvijale i fokusirale se na iskori\u0161tavanje ranjivosti u izlo\u017eenoj internet infrastrukturi, stalno skeniranje slabosti i instaliranje internet skripti za daljinski pristup kako bi dobili neovla\u0161teni pristup osjetljivim informacijama. Primjetno je da su sproveli velike kampanje usmjerene na biv\u0161e vladine zvani\u010dnike, nevladine organizacije, istra\u017eiva\u010dke centre i visoko\u0161kolske ustanove, \u010desto koriste\u0107i <em>spear-phishing<\/em> napade ili kompromituju\u0107i <em>SharePoint<\/em> okru\u017eenja za raspore\u0111ivanje zlonamjernog softvera i kra\u0111u intelektualne svojine.<\/p>\n<p><em>Violet<\/em> <em>Typhoon<\/em> tako\u0111e te\u017ei da cilja organizacije u finansijskom sektoru, sa fokusom na kra\u0111u <em>Windows MachineKeys<\/em> direktorijuma koje sadr\u017ee kriptografske klju\u010deve. Me\u0111utim, izgleda da su njihove sumnjive motivacije usredsre\u0111ene na \u0161pijuna\u017eu, a ne na finansijsku dobit.<\/p>\n<p>Jedinstvena karakteristika ove grupe le\u017ei u njenoj sposobnosti da stalno skenira ranjivosti i iskori\u0161tava ih koriste\u0107i internet skripte za daljinski pristup, \u0161to je izdvaja od drugih prijetnji koje se vi\u0161e oslanjaju na dru\u0161tveni in\u017eenjering ili taktike raspore\u0111ivanja zlonamjernog softvera.<\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Storm-2603\"><\/span><strong><em>Storm-2603<\/em><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><em>Storm-2603<\/em> je prijetnja za koju se mo\u017ee re\u0107i sa srednjim novom pouzdanosti sa sjedi\u0161tem u Kini koju prati kompanija <em>Microsoft<\/em>, bez identifikovanih veza sa drugim poznatim kineskim prijetnjama. Ciljevi grupe ostaju nejasni uprkos primije\u0107enim poku\u0161ajima kra\u0111e <em>MachineKeys<\/em> direktorijuma putem lokalnih ranjivosti <em>SharePoint<\/em> okru\u017eenja i raspore\u0111ivanja <em>Warlock<\/em> i <a href=\"https:\/\/sajberinfo.com\/2024\/06\/16\/fbi-objavio-7-000-lockbit-kljuceva-za-desifrovanje\/\" target=\"_blank\" rel=\"nofollow noopener\"><em>Lockbit<\/em> <\/a>ucjenjiva\u010dkog softvera (eng. <em>ransomware<\/em>) u pro\u0161losti.<\/p>\n<p>Istorijski gledano, <em>Storm-2603<\/em> je bio povezan sa iskori\u0161\u0107avanjem postoje\u0107ih ranjivosti radi napada putem inficiranih internet stranica (eng. <em>drive-by compromises<\/em>), stalnim skeniranjem izlo\u017eene internet infrastrukture ciljnih organizacija u potrazi za ranjivostima i instaliranjem internet skripti za daljinski pristup nakon otkrivanja. Ovaj na\u010din djelovanja podsje\u0107a na prijetnje poput <em>Violet<\/em> <em>Typhoon.<\/em><\/p>\n<p>Pojava <em>Storm-2603<\/em> datira od po\u010detka 2025. godine, kada ih je kompanija Microsoft po\u010dela pratiti, a od tada, njihove operacije su evoluirale tako da uklju\u010duju skeniranje i napad na lokalne <em>SharePoint<\/em> servere, zaobila\u017eenjem autentifikacije i kori\u0161tenjem zlonamjernih skripti za kra\u0111u osjetljivih kriptografskih klju\u010deva. Tipi\u010dne metode grupe uklju\u010duju kompromitovanje platformi putem postoje\u0107ih ranjivosti, sa fokusom na ciljanje industrija kao \u0161to su finansije, zdravstvene usluge, digitalni mediji, obrazovanje i vlada.<\/p>\n<p>Motivi grupe <em>Storm-2603<\/em> su nejasni, ali s obzirom na primije\u0107eno iskori\u0161tavanje ranjivosti <em>SharePoint <\/em>okru\u017eenja, mogu\u0107e je da su \u0161pijuna\u017ea ili kra\u0111a intelektualne svojine pokreta\u010dke snage iza njihovih aktivnosti. Me\u0111utim, bez dodatnih informacija o njihovim ciljevima, ostaje te\u0161ko utvrditi konkretnu motivaciju.<\/p>\n<p>&nbsp;<\/p>\n<blockquote><p><em>\u201cVladine agencije postale zavisne od kompanije koja ne samo da ne mari za bezbjednost, ve\u0107 zara\u0111uje milijarde dolara prodajom premijum usluga sajber bezbjednost kako bi rije\u0161ila nedostatke u svojim proizvodima. Svaki hakerski napad izazvan Microsoft nemarno\u0161\u0107u rezultira pove\u0107anjem vladinih tro\u0161kova za Microsoft usluge sajber bezbjednosti.\u201d<\/em><\/p>\n<p style=\"text-align: right;\"><em>&#8211; <\/em><a href=\"https:\/\/www.theregister.com\/2025\/07\/21\/massive_security_snafu_microsoft\/\" target=\"_blank\" rel=\"noopener\"><em>Senator Ron Wyden (D-OR)<\/em><\/a><em> &#8211;<\/em><\/p>\n<\/blockquote>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"FUNKCIONISANJE_NAPADA\"><\/span><strong>FUNKCIONISANJE NAPADA<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Kao \u0161to je re\u010deno ranije, demonstracija <em>ToolShell<\/em> lanca eksploatacije i reakcija kompanije <em>Microsoft<\/em> objavom a\u017euriranja na dvije iskori\u0161tene ranjivosti nije bio kraj za <em>ToolShell<\/em>. Sada je u sr\u017ei <em>ToolShell <\/em>lanca eksploatacije ranjivost koja omogu\u0107ava nepravilnu deserijalizaciju nepouzdanih podataka, \u0161to omogu\u0107ava zlonamjernom akteru da izvr\u0161ava proizvoljni k\u00f4d preko mre\u017ee bez ikakve interakcije sa korisnikom. Lanac eksploatacije koristi ranjivost <em>CVE-2025-53770<\/em> \u0161to mu omogu\u0107ava da kombinuje mogu\u0107nosti zaobila\u017eenja autentifikacije i daljinsko pokretanje zlonamjernog k\u00f4da.<\/p>\n<p>Ova strategija napada uklju\u010duje ne samo dobijanje privremenog pristupa, ve\u0107 i preuzimanje kriptografskih klju\u010deva servera, ta\u010dnije <em>ValidationKey<\/em> i <em>DecryptionKey<\/em>. Posjedovanje ovih klju\u010deva omogu\u0107ava zlonamjernim akterima da nezavisno falsifikuju tokene za autentifikaciju i <a href=\"https:\/\/sajberinfo.com\/2023\/04\/11\/payload\/\" target=\"_blank\" rel=\"nofollow noopener\">korisne podatke<\/a> (eng. <em>payloads<\/em>) <em>__VIEWSTATE<\/em>, daju\u0107i im trajni pristup koji mo\u017ee da pre\u017eivi standardne strategije ubla\u017eavanja. Lanac <em>ToolShell <\/em>eksploatacije odvija se u tri faze:<\/p>\n<ul>\n<li><strong>Zaobila\u017eenje autentifikacije:<\/strong> Napad po\u010dinje <em>POST<\/em> zahtjevom poslatim na krajnju ta\u010dku <em>\/_layouts\/15\/ToolPane.aspx<\/em>, koriste\u0107i ranjivost <em>CVE-2025-53771<\/em>. Ova ranjivost omogu\u0107ava napada\u010du da presko\u010di provjere autentifikacije i dobije privilegovan pristup;<\/li>\n<li><strong>Daljinsko izvr\u0161avanje k\u00f4da putem deserijalizacije:<\/strong> Uz autentifikovani pristup, zlonamjerni akter mo\u017ee komunicirati sa <em>aspx<\/em> krajnjom ta\u010dkom i poslati zlonamjerni korisni teret unutar <em>POST<\/em> zahteva. Time se aktivira glavna ranjivost: neispravna deserializacija koja pretvara podatke u izvr\u0161ivi k\u00f4d na serveru;<\/li>\n<li><strong>Dugoro\u010dna strategija i posjedovanje kriptografskih klju\u010deva:<\/strong> Kona\u010dno, da bi odr\u017eao kontinuirani pristup, zlonamjerni akter \u0107e koristiti specifi\u010dnu internet skriptu za daljinski pristup da bi ukrao kriptografske klju\u010deve servera \u2013 ta\u010dnije <em>ValidationKey<\/em> i <em>DecryptionKey<\/em>.<\/li>\n<\/ul>\n<p>Posjedovanjem kriptografskih ma\u0161inskih klju\u010deva, zlonamjerni akteri mogu da odr\u017ee kontinuirani pristup i izvr\u0161avaju nove zlonamjerne dodatke na iskori\u0161tenom serveru. Kao odgovori, neophodno je razumjeti ovu metodologiju i prilagoditi bezbjednosne mjere u skladu sa tim kako bi se sprije\u010dili ovi napadi.<\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"CISA_ROK_ZA_ISPRAVLJANJE\"><\/span><strong><em>CISA<\/em> ROK ZA ISPRAVLJANJE<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Agencija za sajber bezbjednost i sigurnost infrastrukture (eng. <em>Cybersecurity and Infrastructure Security Agency \u2013 CISA<\/em>) Sjedinjenih Ameri\u010dkih Dr\u017eava je 22. jula 2025. godine <a href=\"https:\/\/www.cisa.gov\/known-exploited-vulnerabilities-catalog\" target=\"_blank\" rel=\"noopener\">dodala dvije kriti\u010dne ranjivosti u <em>KEV<\/em> katalog<\/a> sa nevi\u0111enim rokom za sanaciju postavljenim na samo jedan dan kasnije. Ovaj agresivni vremenski okvir odra\u017eava ozbiljnost aktivne eksploatacije i kriti\u010dnu prirodu ovih bezbjednosnih propusta.<\/p>\n<p>Agencija za sajber bezbjednost i sigurnost infrastrukture (<em>CISA<\/em>) je <a href=\"https:\/\/www.cisa.gov\/news-events\/alerts\/2025\/07\/20\/update-microsoft-releases-guidance-exploitation-sharepoint-vulnerabilities\" target=\"_blank\" rel=\"noopener\">izdala posebne smjernice<\/a> u skladu sa obavezuju\u0107om operativnom direktivom (eng. <em>Binding Operational Directive \u2013 BOD<\/em>) 22-01, zahtjevaju\u0107i od saveznih agencija da odmah rije\u0161e ove bezbjednosne nedostatke. Ova direktiva nagla\u0161ava kriti\u010dnu va\u017enost brzog otklanjanja problema i slu\u017ei kao model za druge organizacije koje \u017eele da ubla\u017ee sli\u010dne ranjivosti.<\/p>\n<p>&nbsp;<\/p>\n<blockquote>\n<p style=\"text-align: left;\"><em>\u201cCISA je svjesna aktivnog iskori\u0161tavanja lanca ranjivosti la\u017enog predstavljanja i izvr\u0161avanja udaljenog k\u00f4da koji uklju\u010duje CVE-2025-49706 i CVE-2025-49704, omogu\u0107avaju\u0107i neovla\u0161teni pristup lokalnim SharePoint serverima.\u201d<\/em><\/p>\n<p style=\"text-align: right;\"><em>&#8211; CISA &#8211;<\/em><\/p>\n<\/blockquote>\n<p>&nbsp;<\/p>\n<p>Organizacije koje koriste verzije <em>SharePoint<\/em> okru\u017eenja na kraju \u017eivotnog vijeka (eng. <em>end-of-life \u2013 EOL<\/em>) ili na kraju usluge (eng. <em>end-of-service \u2013 EOS<\/em>), uklju\u010duju\u0107i <em>SharePoint<\/em> <em>Server<\/em> <em>2013<\/em> i ranija izdanja koja vi\u0161e ne dobijaju bezbjednosne ispravke, posebno su ranjive. Agencija za sajber bezbjednost i sigurnost infrastrukture (<em>CISA<\/em>) nagla\u0161ava potrebu za potpunim isklju\u010divanjem ovih naslje\u0111enih sistema iz javno dostupnih mre\u017ea.<\/p>\n<p>Za podr\u017eane verzije <em>SharePoint<\/em> okru\u017eenja, organizacije moraju da primjene najnovije bezbjednosne ispravke i da prate sveobuhvatne smjernice kompanije <em>Microsoft<\/em> za ubla\u017eavanje problema. Ovaj pristup uklju\u010duje vi\u0161eslojnu strategiju koja uklju\u010duje pobolj\u0161ane procese provjere autentifikacije i oja\u010dane protokole mre\u017ene komunikacije kako bi se sprije\u010dili poku\u0161aji la\u017enog predstavljanja.<\/p>\n<p>Me\u0111utim, za sisteme na kraju \u017eivotnog vijeka (<em>EOL<\/em>), kao \u0161to je <em>SharePoint<\/em> <em>Server<\/em> <em>2013<\/em>, jedina odr\u017eiva opcija je potpuno isklju\u010divanje iz mre\u017enog pristupa. Ova drasti\u010dna mjera nagla\u0161ava ozbiljnost ovih ranjivosti i slu\u017ei kao dobar podsjetnik da se organizacije vi\u0161e ne mogu osloniti na zastarele sisteme da obezbijede adekvatnu bezbjednost.<\/p>\n<p>Uputstva agencije za ubla\u017eavanje pozivaju se na vi\u0161e <em>Microsoft<\/em> bezbjednosnih savjeta i baza podataka o ranjivostima, uklju\u010duju\u0107i Centar za bezbjednosne odgovore kompanije <em>Microsoft<\/em> (eng. <em>Microsoft<\/em> <em>Security<\/em> <em>Response<\/em> <em>Center \u2013 MSRC<\/em>) i Nacionalna baza podataka o ranjivostima (eng<em>. National Vulnerability Database \u2013 NVD<\/em>). Ovi resursi slu\u017ee kao vrijedan vodi\u010d za organizacije koje \u017eele da blagovremeno rije\u0161e ove ranjivosti.<\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"UTICAJ\"><\/span><strong>UTICAJ<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Za mnoge organizacije \u0161irom svijeta, proteklih nekoliko dana predstavljaju ostvarenje najcrnijih no\u0107nih mora. Iskori\u0161tavanje ranjivosti u <em>Microsoft SharePoint<\/em> okru\u017eenju od strane kineskih zlonamjernih aktera rezultiralo je ozbiljnim bezbjednosnim propustima, ugro\u017eavanjem osjetljivih podataka i poreme\u0107ajem poslovnih operacija.<\/p>\n<p>Uticaj ovih napada je dubok \u2014 finansijski gubici, \u0161teta po reputaciju i preusmjeravanje resursa sa osnovnih aktivnosti na upravljanje krizom. Za pojedine organizacije, posljedice mogu biti nepopravljive, sa dugoro\u010dnim efektima koji se \u0161ire izvan okvira pojedina\u010dnih preduze\u0107a, poga\u0111aju\u0107i \u010ditave industrije i dr\u017eave.<\/p>\n<p>Kako sigurnosni istra\u017eiva\u010di dublje analiziraju situaciju, postaje jasno da su u ovim napadima u\u010destvovali <a href=\"https:\/\/sajberinfo.com\/2020\/12\/08\/apt-sponzorisani-napadi\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjerni akteri pod dr\u017eavnim pokroviteljstvom<\/a>. To izaziva ozbiljnu zabrinutost u vezi sa njihovim motivacijama i potencijalnim implikacijama po globalnu bezbjednost i me\u0111unarodne odnose.<\/p>\n<p>Ljudska cijena ove sajber prijetnje je zna\u010dajna \u2014 zaposleni su primorani na prekovremeni rad kako bi otklonili bezbjednosne propuste, finansijski gubici rastu iz dana u dan, a naru\u0161ena reputacija ugro\u017eava dugoro\u010dnu odr\u017eivost poslovanja.<\/p>\n<p>Dok se organizacije kre\u0107u kroz ovaj slo\u017een bezbjednosni pejza\u017e, jedno je sve jasnije: iskori\u0161tavanje ranjivosti u <em>SharePoint<\/em> okru\u017eenju razotkrilo je kriti\u010dnu slabost u globalnoj sajber odbrani. Ostaje da se vidi kako \u0107e organizacije i vlade odgovoriti na ove izazove.<\/p>\n<p>Posljedice ove prijetnje su dalekose\u017ene \u2014 sa potencijalnim uticajem koji nadilazi granice pojedina\u010dnih preduze\u0107a, zahvataju\u0107i \u010ditave sektore i dr\u017eave.<\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZAKLJUCAK\"><\/span><strong>ZAKLJU\u010cAK<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Iskori\u0161tavanje ranjivosti u <em>Microsoft SharePoint<\/em> okru\u017eenju od strane kineskih zlonamjernih aktera dokumentovano je kroz vi\u0161estruke tehni\u010dke izvje\u0161taje, obavje\u0161tajne podatke o prijetnjama i analize bezbjednosnih stru\u010dnjaka. Identifikovane ranjivosti nultog dana, koje direktno ugro\u017eavaju <em>SharePoint<\/em> serversku infrastrukturu, omogu\u0107avaju zaobila\u017eenje standardnih mehanizama autentifikacije, kao i zloupotrebu kriti\u010dnih propusta u procesu nebezbjedne deserijalizacije. Ove tehni\u010dke slabosti pru\u017eaju mogu\u0107nost izvr\u0161avanja udaljenog k\u00f4da bez autentifikacije, \u010dime se otvara put ka kompromitovanju povjerljivih i osjetljivih informacija u lokalnim mre\u017enim okru\u017eenjima.<\/p>\n<p>Detaljna forenzi\u010dka analiza otkriva da se navedene ranjivosti eksploati\u0161u zajedno s naprednim zlonamjernim alatima, skriptama i tehnikama maskiranja prisustva, \u0161to jasno ukazuje na visoko sofisticiran vektor napada. Primjena takvih metoda od strane zlonamjernih aktera povezanih s kineskom sajber infrastrukturom nagovje\u0161tava postojanje strate\u0161ki koordinisanih napora, usmjerenih ka kompromitovanju klju\u010dnih informati\u010dkih sistema u razli\u010ditim dr\u017eavama i sektorima.<\/p>\n<p>Ovakva eskalacija sajber prijetnji ima dalekose\u017ene posljedice na ukupno stanje globalne sajber bezbjednosti, te dodatno nagla\u0161ava kriti\u010dnu potrebu za proaktivnim upravljanjem ispravkama, kontinuiranim procesima otklanjanja ranjivosti i uspostavljanjem robusne bezbjednosne politike u svim organizacijama koje koriste <em>SharePoint<\/em> platformu.<\/p>\n<p>Prema aktuelnim obavje\u0161tajnim podacima, zna\u010dajan broj zlonamjernih grupa trenutno aktivno koristi ovu ranjivost kao integralni dio svojih kompleksnih strategija napada, \u010dime se dodatno pove\u0107ava rizik po sajber integritet i dostupnost resursa. Stoga je neophodno da bezbjednosni timovi uspostave sveobuhvatne mehanizme nadgledanja, uklju\u010duju\u0107i detaljno pra\u0107enje mre\u017enog saobra\u0107aja, sistemskih zapisa, te implementaciju automatizovanih sistema otkrivanja.<\/p>\n<p>Neprekidna zloupotreba <em>SharePoint<\/em> ranjivosti od strane organizovanih zlonamjernih entiteta dodatno podcrtava urgentnu potrebu za redovnim a\u017euriranjem bezbjednosnih protokola, edukacijom kadrova, kao i unapre\u0111enjem tehni\u010dke i administrativne za\u0161tite digitalne infrastrukture, kako bi se efikasno sprije\u010dili budu\u0107i napadi sli\u010dnog karaktera.<\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"MICROSOFT_ODGOVOR\"><\/span><strong><em>MICROSOFT<\/em> ODGOVOR<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Kao odgovor na <em>SharePoint<\/em> ranjivosti, kompanija <em>Microsoft<\/em> je izdala hitne ispravke za podr\u017eane verzije <em>SharePoint<\/em> servera. A\u017euriranja, koja uklju\u010duju <em>KB5002754<\/em> za <em>SharePoint Server 2019<\/em>, <em>KB5002768<\/em> za <em>SharePoint<\/em> <em>Subscription<\/em> <em>Edition<\/em> i ispravku KB5002760 za <em>SharePoint<\/em> <em>2016<\/em>, sadr\u017ee \u201c<em>robusniju<\/em> <em>za\u0161titu<\/em>\u201d od po\u010detnih julskih ispravki.<\/p>\n<p>Ova najnovija a\u017euriranja fokusiraju se na zatvaranje vektora zaobila\u017eenja i pobolj\u0161anje provjere sesija i rukovanja deserijalizacijom. Ovaj naglasak na bezbjednosnim pobolj\u0161anjima nagla\u0161ava posve\u0107enost kompanije <em>Microsoft<\/em> za\u0161titi svojih kupaca od novih prijetnji.<\/p>\n<p>Organizacijama koje koriste podr\u017eane verzije <em>SharePoint<\/em> servera savjetuje se da odmah primjene ova a\u017euriranja kako bi osigurale da njihova okru\u017eenja ostanu bezbjedna. Na taj na\u010din \u0107e mo\u0107i da sprije\u010de neovla\u0161teni pristup i za\u0161tite osjetljive informacije od ugro\u017eavanja.<\/p>\n<p>Iako je primjena ispravki klju\u010dni korak u rje\u0161avanju ranjivosti, sama po sebi mo\u017eda ne\u0107e poni\u0161titi \u0161tetu ako je zlonamjerni akter ve\u0107 dobio pristup serveru. U takvim slu\u010dajevima, organizacije moraju preduzeti dodatne korake kako bi osigurale bezbjednost svojih okru\u017eenja. Prva od ovih mjera uklju\u010duje rotiranje <em>ASP.NET<\/em> ma\u0161inskih klju\u010deva.<\/p>\n<p>Rotiranje <em>ASP.NET<\/em> ma\u0161inskih klju\u010deva zahteva resetovanje postoje\u0107ih vrijednosti i generisanje novih vrijednosti <em>ValidationKey<\/em> i <em>DecryptionKey<\/em>. Ovaj proces \u010dini sve ukradene podatke za prijavu beskorisnim, \u010dime se spre\u010davavaju zlonamjerni akteri da ih koriste u zlonamjerne svrhe. Da bi izvr\u0161ili ovaj zadatak, administratori moraju da pristupe <em>IIS Manager<\/em> konzoli, da se kre\u0107u do odjeljka <em>Application Pools<\/em>, da izaberu odgovaraju\u0107i <em>pool<\/em>, da kliknu na <em>Advanced Settings<\/em>, a zatim a\u017euriraju <em>Machine Key<\/em> pode\u0161avanja.<\/p>\n<p>Nakon \u0161to se ma\u0161inski klju\u010devi rotiraju, organizacije bi trebalo da tra\u017ee internet skriptu za daljinski pristup u svojim <em>SharePoint<\/em> okru\u017eenjima. Ovo uklju\u010duje pretragu neobi\u010dnih <em>ASPX<\/em> datoteka ili <em>aspx<\/em> u <em>layouts<\/em> direktorijumu. Prisustvo takvih datoteka mo\u017ee ukazivati na to da je zlonamjerni akter ve\u0107 ugrozio server, \u0161to zahteva dalju istragu kako bi se utvrdio obim \u0161tete i sprovele korektivne mjere.<\/p>\n<p>Jo\u0161 jedan kriti\u010dan korak u ubla\u017eavanju ranjivosti je omogu\u0107avanje integracije <em>Antimalware<\/em> <em>Scan<\/em> <em>Interface<\/em> (<em>AMSI<\/em>) u <em>SharePoint<\/em> okru\u017eenjima. Omogu\u0107avanjem <em>AMSI<\/em> integracije, organizacije mogu da otkriju zlonamjerne skripte tokom izvr\u0161avanja, \u010dime spre\u010davaju zlonamjerne aktere da ih izvr\u0161avaju u ovim okru\u017eenjima. Ovaj proaktivni pristup poma\u017ee da se osigura da osjetljive informacije ostanu bezbjedne \u010dak i u slu\u010dajevima kada je zlonamjerni akter ve\u0107 dobio pristup serveru.<\/p>\n<p>Kona\u010dno, organizacije moraju da skeniraju u potrazi za abnormalnim pona\u0161anjem procesa u svojim <em>SharePoint<\/em> okru\u017eenjima. Ovo uklju\u010duje istra\u017eivanje da li su <em>EXE<\/em> datoteke pokrenule sumnjive procese kao \u0161to su <em>w3wp.exe<\/em> \u2192 <em>cmd.exe<\/em> \u2192 <em>powershell.exe<\/em> <em>-EncodedCommand<\/em>. Ovakvi obrasci \u010desto ukazuju na aktivnosti nakon eksploatacije i zahtevaju dalja istra\u017eivanja kako bi se utvrdio obim \u0161tete.<\/p>\n<p>Na ovaj na\u010din administratori \u0107e mo\u0107i da rano identifikuju potencijalne bezbjednosne probleme i preduzmu korektivne mjere prije nego \u0161to zlonamjerni akteri imaju priliku da ih dalje iskoriste.<\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"PREPORUKE\"><\/span><strong>PREPORUKE<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<ol>\n<li>Organizacije moraju dati prioritet trenutnoj sanaciji kriti\u010dnih <em>SharePoint<\/em> ranjivosti kako bi odr\u017eale svoj bezbjednosni polo\u017eaj. Upotreba ovih ranjivosti u kampanjama ucjenjiva\u010dkog softvera ostaje nepoznata, ali su aktivni poku\u0161aji eksploatacije identifikovani u poslovnim okru\u017eenjima. Upotreba lanca ranjivosti nazvanog <em>ToolShell<\/em> od strane zlonamjernih aktera dodatno nagla\u0161ava potrebu za brzom akcijom kako bi se sprije\u010dio neovla\u0161teni pristup. Kao rezultat toga, organizacije koje ne primjene ispravke suo\u010davaju se sa potencijalnim ugro\u017eavanjima i pove\u0107anim rizicima po sajber bezbjednost. Organizacije moraju bez odlaganja sprovesti preporu\u010dene mjere ubla\u017eavanja, jer aktivni status eksploatacije ovih ranjivosti \u010dini ih metama visokog prioriteta za hitnu sanaciju;<\/li>\n<li>Bezbjednosni timovi treba da sprovedu temeljne procjene ranjivosti kako bi identifikovali sve postoje\u0107e slabosti povezane sa <em>CVE-2025-49706<\/em> i <em>CVE-2025-49704<\/em>. Ovo \u0107e omogu\u0107iti organizacijama da preduzmu proaktivne mjere za ubla\u017eavanje potencijalnih napada prije nego \u0161to se dogode;<\/li>\n<li>Implementacija segmentacije mre\u017ee je klju\u010dna u spre\u010davanju bo\u010dnog kretanja zlonamjernog aktera unutar internih mre\u017ea organizacije. Izolovanjem osjetljivih podataka i kriti\u010dne infrastrukture od ostatka mre\u017ee, organizacije mogu ograni\u010diti uticaj uspje\u0161nog napada;<\/li>\n<li>Redovne bezbjednosne revizije treba sprovoditi kako bi se identifikovale potencijalne ranjivosti i slabosti koje bi zlonamjerni akteri mogli da iskoriste. Ovo \u0107e omogu\u0107iti organizacijama da preduzmu proaktivne mjere za rje\u0161avanje ovih problema prije nego \u0161to postanu veliki problemi;<\/li>\n<li>Implementacija autentifikaciju u vi\u0161e koraka (eng. <em>multi-factor authentication \u2013 MFA<\/em>) je neophodna u spre\u010davanju neovla\u0161tenog pristupa <em>SharePoint<\/em> serverima, \u010dak i ako je zlonamjerni akter dobio va\u017ee\u0107e podatke za prijavu na druge na\u010dine. Zahtevanjem vi\u0161e oblika provjere prava pristupa, kao \u0161to su lozinke i biometrijski podaci, organizacije mogu zna\u010dajno smanjiti rizik od uspje\u0161nih napada;<\/li>\n<li>Pra\u0107enje mre\u017enog saobra\u0107aja u potrazi za sumnjivim aktivnostima omogu\u0107i\u0107e timovima za bezbjednost da brzo identifikuju potencijalne prijetnje prije nego \u0161to eskaliraju u ve\u0107e incidente. Ovo bi trebalo da uklju\u010duje pra\u0107enje zapisa sa <em>SharePoint<\/em> servera, za\u0161titnih zidova i drugih kriti\u010dnih komponenti infrastrukture;<\/li>\n<li><a href=\"https:\/\/sajberinfo.com\/2020\/10\/26\/plan-odgovora-na-sajber-prijetnju\/\" target=\"_blank\" rel=\"nofollow noopener\">Planovi odgovora na sajber prijetnju<\/a> moraju se implementirati u slu\u010daju uspje\u0161nog napada ili sumnje na kompromitovanje. Ovi planovi treba da defini\u0161u procedure za obuzdavanje, iskorjenjivanje, oporavak i aktivnosti nakon incidenta kako bi se smanjilo vrijeme zastoja i osigurao kontinuitet poslovanja;<\/li>\n<li>Redovna obuka o praksama bezbjednosti je neophodna u edukaciji zaposlenih o potencijalnim prijetnjama i ranjivostima vezanim za <em>SharePoint<\/em> Ovo \u0107e omogu\u0107iti organizacijama da odr\u017eavaju kulturu sajber bezbjednosti koja nagla\u0161ava va\u017enost budnosti i odgovornog pona\u0161anja prilikom interakcije sa osjetljivim podacima;<\/li>\n<li>Implementacija robusnih procedura za pravljenje <a href=\"https:\/\/sajberinfo.com\/2020\/11\/02\/rezervna-kopija-i-cuvanje-podataka\/\" target=\"_blank\" rel=\"nofollow noopener\">rezervnih kopija<\/a> i oporavak obezbijedi\u0107e kontinuitet poslovanja \u010dak i ako napad rezultira zna\u010dajnim zastojem ili gubitkom podataka. Treba redovno praviti rezervne kopije, a njih treba bezbjedno \u010duvati kako bi se sprije\u010dio neovla\u0161teni pristup zlonamjernim akterima;<\/li>\n<li><em>SharePoint<\/em> serveri moraju biti konfigurisani imaju\u0107i u vidu najbolje bezbjednosne prakse, uklju\u010duju\u0107i upotrebu bezbjednih protokola za komunikaciju i redovna a\u017euriranja kako bi se osiguralo da su sve poznate ranjivosti otklonjene;<\/li>\n<li>Implementacija strogih kontrola pristupa sprije\u010di\u0107e neovla\u0161tene korisnike da pristupe osjetljivim podacima ili kriti\u010dnim komponentama infrastrukture unutar <em>SharePoint<\/em> Ovo bi trebalo da uklju\u010duje implementaciju politika kontrole pristupa zasnovanih na ulogama i redovno preispitivanje korisni\u010dkih dozvola kako bi se identifikovale potencijalne slabosti;<\/li>\n<li>Redovno penetracijsko testiranje je neophodno za identifikaciju ranjivosti koje mo\u017eda nisu odmah o\u010digledne na druge na\u010dine (npr. skeniranjem ranjivosti). Simuliraju\u0107i napade na sisteme organizacije, bezbjednosni timovi mogu ste\u0107i vrijedne uvide u efikasnost postoje\u0107e odbrane i dati preporuke za pobolj\u0161anje.<\/li>\n<\/ol>\n<p>Zbog svega navedenog, ovdje je nagla\u0161ena va\u017enost hitne sanacije, temeljnih procjena ranjivosti, primjene preporu\u010denih mjera za ubla\u017eavanje bez odlaganja, osiguravanja da su <em>SharePoint<\/em> serveri a\u017eurirani i sprovo\u0111enja redovnih bezbjednosnih revizija kako bi se sprije\u010dilo zlonamjerno kori\u0161tenje kriti\u010dnih ranjivosti od strane zlonamjernih aktera.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>U petak, 18. jula, iskori\u0161tena je ranije nepoznata ranjivost nultog dana u softveru Microsoft SharePoint, \u0161to je uticalo na Ministarstvo energetike i njegovu poluautonomnu Nacionalnu administraciju za nuklearnu bezbjednost. Ovaj napad je ozna\u010dio jedan&#46;&#46;&#46;<\/p>","protected":false},"author":1,"featured_media":8213,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[3315,2980,3317,3321,3316,3314,3322,3319,3318,3320,2001],"class_list":["post-8212","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hronike","tag-china-hacks","tag-data-breaches","tag-linen-typhoon","tag-lockbit-malware","tag-microsoft-vulnerability","tag-sharepoint-security","tag-sharepoint-updates-now","tag-storm-2603","tag-violet-typhoon","tag-warlock-ransomware","tag-zero-day-exploits"],"_links":{"self":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/8212","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/comments?post=8212"}],"version-history":[{"count":0,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/8212\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media\/8213"}],"wp:attachment":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media?parent=8212"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/categories?post=8212"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/tags?post=8212"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}