SharePoint ожог: "Warlock" завёлся в офисах

Критическая уязвимость на серверах Microsoft SharePoint — вот откуда началась эпидемия кибератак, которая быстро из спокойной кражи данных переросла в настоящий «SharePoint-апокалипсис». Хакеры, сначала действовавшие тихо, вдруг перешли к открытому шантажу, начав распространять по взломанным системам бесплатный вымогательский вирус Warlock. Теперь, чтобы вернуть доступ к своим данным, жертвы вынуждены платить выкуп в криптовалюте.

Все началось с того, что злоумышленники из группы, которую Microsoft прозвала «Storm-2603», воспользовались двумя дырами — CVE-2025-53770 (ToolShell) и её вариантом CVE-2025-53771. Эти уязвимости позволяют запускать чужой код, просто отправив подготовленный запрос — даже не нужна авторизация. Если сервер не обновили вовремя, доступ к нему у злоумышленников появляется мгновенно.

По данным компании Bitsight, у CVE-2025-53770 максимальный балл по системе оценки опасности атак — 10 из 10. То есть медлить нельзя ни секунды.

Специалисты по безопасности заметили резкое увеличение числа атак. По данным Eye Security, число подтвержденных жертв за выходные выросло с сотни до четырехсот, но реально их может быть намного больше. Как отмечает Вайша Бернар, главный хакер Eye Security, многие атаки не оставляют следов — их просто не видно.

Проблема затронула даже агентства правительства США, в том числе NIH и, по сообщениям, даже Министерство внутренней безопасности. CISA — киберзащитное подразделение самого ведомства — внесла уязвимость в список особо опасных, потребовав срочного обновления всех федеральных серверов при появлении заплатки.

Особенно опасен вирус Warlock, которым злоумышленники охотно заражают скомпрометированные сервера. При этом используют цепочки атак: новые дыры комбинируют со старыми (например, с CVE-2025-49704), что говорит о системной проблеме в безопасности устаревших SharePoint-серверов.

Хакерам удаётся обходить даже многофакторную аутентификацию, похищать ключи безопасности машин и закрепляться в чужих сетях. SharePoint Online (Microsoft 365) этим не страдает, но обычные «железные» серверы подверглись массовому нападению. По оценкам, по всему миру уже взломано 75–85 серверов, а пострадали государственные структуры, банки, медучреждения, университеты, телеком-компании и даже энергетика.

В зоне риска остаются до 9 тысяч незакрытых сервисов по всему миру. Microsoft призывает срочно ставить последние обновления: KB5002768 для Subscription Edition, KB5002754 для SharePoint 2019, KB5002760 для SharePoint 2016. После обновления советуют сменить значения MachineKey и включить защиту через AMSI (Antimalware Scan Interface) в Defender Antivirus.

Дополнительные советы: искать вредоносные web shell-файлы (например, spinstall0.aspx), отслеживать подозрительный «боковой» трафик в логах, рассмотреть переход на ZTNA и корпоративные VPN — правда, это спасёт только при условии строгой защиты конечных устройств и регулярных обновлений.