Microsoft SharePoint под угрозой: ToolShell и атаки вымогателей
Следите за новостями по этой теме!
Подписаться на «Рифы и пачки / Твоя культура»
Опасения вокруг Microsoft SharePoint продолжают нарастать — к вечеринке по эксплуатации уязвимости присоединились даже банды вымогателей. Специалисты Palo Alto Networks (кибербезопасность, компания из США, исследовательское подразделение Unit 42) сообщают, что обнаружили киберпреступников с прозвищем 4L4MD4R, которые используют эксплойт ToolShell для проникновения в системы и попыток зашифровать данные жертв.
Что же представляет собой ToolShell? Это название для уязвимости в платформе Microsoft SharePoint Server (системе для хранения и совместной работы с документами), обнаруженной совсем недавно. Уязвимость обозначается как CVE-2025-53770. Она позволяет удалённым злоумышленникам запускать свой код на сервере без авторизации — для этого достаточно отправить специальный запрос. Оценка серьёзности проблемы — 9,8 из 10 (критическая). Microsoft выпустила исправление в конце июля 2025 года, но многие серверы по-прежнему не защищены.
Меньше чем через две недели после появления экстренного патча, исследователи фиксируют рост атак, а количество жертв уже измеряется сотнями. По данным Eye Security, это лишь верхушка айсберга: не все попытки взлома можно отследить по «следам» в системах. Среди пострадавших оказались даже крупные государственные организации — Национальное управление ядерной безопасности США, Министерство образования США, департамент налоговой службы штата Флорида и даже правительственные сети в Европе и на Ближнем Востоке.
Теперь на сцену выходят и вымогатели — своя отдельная каста темных дел мастеров. Группа 4L4MD4R, судя по данным Unit 42, использует код, основанный на открытом проекте Mauri870. Обнаружена атака 27 июля 2025, когда специалисты анализировали неудачную попытку взлома. Вредоносная программа, отмечают в отчёте, скрыта с помощью упаковщика UPX, написана на языке Go, а после запуска расшифровывает вредоносный компонент прямо в оперативной памяти. Затем он запускается для выполнения атакующих функций.
О принадлежности и национальности группы 4L4MD4R публично ничего не сообщается, но известно, что вымогатели требуют от жертв 0,005 биткоина — это около 500 долларов США.
PEREC.RU
Редакция MS SharePoint, словно фараон времен технологических казней, вновь преподносит миру всё тот же багет, только с новым соусом. Критические уязвимости на SharePoint — не новости даже для младших школьников. Сценарий знаком: выходит CVE (на этот раз CVE-2025-53770), уязвимость в десериализации — за неё быстро цепляется отчаянная публика: то хакеры, то кибергопники уже с биткоинами вместо кастета.
Пачка госучреждений — от американских налоговых до ближневосточных ассамблей, снова танцует в ожидании, когда из черного ящика вылетит новая дыра. Системных администраторов ничему не учит сама история: обновления — привилегия зануд, другие же ловят цифровую карму в виде зашифрованных файлов и писем счастья на сумму в среднем месячной зарплаты деревенского учителя.
Наблюдаем, как Unit 42 раз за разом ловит лезущих сквозь трещины 4L4MD4R, использующих для этой возни открытый GoLang-код с упаковщиком попроще — да приправу из памяти, чтобы нечаянно никто не догадался. Самое смешное — имя страны не установлено, но и вопрос не по адресу: ведь без clickbait-географии всё внимание переводим на сумму шантажа. 500 долларов — прайс на чужую халатность.
Хор корпоративных ИТ-волшебников, конечно, старается, но их усилия предсказуемо тонут в болоте апатии. Аналитики бросают взгляд в календарь и вздыхают: кто бы мог подумать — уязвимости всё ещё обновлять нужно. Мистика. Тонкая мораль читается между строк для каждого руководителя: меньше летучек — больше патчей.
