Μαζικό κύμα επιθέσεων σε Microsoft SharePoint διακομιστές: Κρίσιμο Zero-Day χωρίς διαθέσιμο patch για όλους

Τον Ιούλιο του 2025, εντοπίστηκε η μεγαλύτερη μέχρι σήμερα εκστρατεία επιθέσεων εναντίον εγκαταστάσεων του Microsoft SharePoint Server. Οι επιθέσεις εκμεταλλεύονται δύο νέες, κρίσιμες ευπάθειες μηδενικής ημέρας (zero-day), αναγνωρισμένες ως CVE-2025-53770 (βαθμολογία CVSS 9.8) και CVE-2025-53771, που επιτρέπουν σε μη εξουσιοδοτημένους εισβολείς να εκτελέσουν απομακρυσμένα αυθαίρετο κώδικα (RCE) και να αποκτήσουν έλεγχο του εξυπηρετητή, συχνά πριν καν πραγματοποιηθεί αυθεντικοποίηση.

Ποιες εκδόσεις επηρεάζονται και πώς λειτουργεί η επίθεση

Οι ευπάθειες αφορούν αποκλειστικά τις on-premises εκδόσεις των SharePoint Server 2016, 2019 και Subscription Edition, ενώ το SharePoint Online (Microsoft 365) παραμένει ανεπηρέαστο.

Ο μηχανισμός επίθεσης βασίζεται στην τεχνική "ToolShell", που συνδυάζει την αποστολή μιας χειραγωγημένης POST αίτησης στο endpoint /ToolPane.aspx με ειδικό HTTP Referer, επιτρέποντας τη μεταφόρτωση κακόβουλων .aspx αρχείων. Οι εισβολείς χρησιμοποιούν αυτά τα αρχεία για να αποσπάσουν τα machine keys του SharePoint (ValidationKey & DecryptionKey). Με αυτά τα κλειδιά μπορούν να εκτελέσουν αυθαίρετες εντολές, ακόμη και μετά την εφαρμογή μελλοντικών ενημερώσεων, διατηρώντας πρόσβαση και επίμονα backdoors στο σύστημα.

Μαζική εκμετάλλευση και επιπτώσεις

Πάνω από 85 οργανισμοί έχουν ήδη εντοπιστεί ως θύματα, ανάμεσά τους αμερικανικές κυβερνητικές υπηρεσίες, ενεργειακοί πάροχοι, πανεπιστήμια και εταιρείες τεχνολογίας. Η επίθεση είναι πλήρως αυτοματοποιημένη, εκμεταλλεύεται εξ ορισμού ρυθμίσεις και έχει ως αποτέλεσμα την εξαγωγή διαπιστευτηρίων και κρυπτογραφικών κλειδιών, καθώς και την επέκταση της διείσδυσης σε άλλα συστήματα του δικτύου (lateral movement).

Οι ειδικοί επισημαίνουν ότι ο κίνδυνος είναι εξαιρετικά υψηλός, διότι ο εισβολέας μπορεί μέσω της παραβιασμένης πλατφόρμας να αποκτήσει πρόσβαση και σε συνδεδεμένες υπηρεσίες Microsoft, όπως Outlook, Teams και OneDrive, μεγιστοποιώντας τον κίνδυνο διαρροής δεδομένων και παραβίασης λογαριασμών.

Κατάσταση ενημερώσεων και άμεσες ενέργειες

Η Microsoft διέθεσε επειγόντως ενημερώσεις ασφαλείας για τις εκδόσεις SharePoint Server 2019 (KB5002754) και SharePoint Subscription Edition (KB5002768), οι οποίες κλείνουν αποτελεσματικά τις δύο νέες ευπάθειες. Ωστόσο, για το SharePoint Server 2016 δεν υπάρχει ακόμη διαθέσιμη ενημέρωση και οι διαχειριστές πρέπει να υιοθετήσουν άμεσα τα ακόλουθα μέτρα μετριασμού:

• Ενεργοποίηση AMSI (Antimalware Scan Interface) πλήρως, συνοδεία Defender AV ή ισοδύναμου αντιβιοτικού λογισμικού.
• Περιορισμός της δημόσιας πρόσβασης στον server, ιδίως εάν δεν δύναται να ενεργοποιηθεί το AMSI.
• Άμεση αλλαγή (rotation) των machine keys μετά την εφαρμογή ενημερώσεων ή ενεργοποίηση της προστασίας.
• Εντοπισμός και διαγραφή ύποπτων αρχείων (π.χ. spinstall0.aspx) στους καταλόγους του SharePoint.
• Συνεχής παρακολούθηση των IIS logs για ύποπτες κλήσεις POST προς /ToolPane.aspx με ασυνήθιστο "Referer"473.

Ανίχνευση παραβιάσεων & αντιμετώπιση

Παρουσία των αρχείων spinstall0.aspx ή περίεργων εντολών μέσω του χρήστη NT AUTHORITY\IUSR αποτελούν σημαντικούς δείκτες συμβιβασμού. Αν βρεθούν τέτοια traces, απαιτείται άμεση απομόνωση του server και εκτεταμένος έλεγχος για πιθανή πλευρική κίνηση προς άλλες υποδομές του οργανισμού.

---

Η κρίση ασφαλείας στο SharePoint υπογραμμίζει τόσο τη σημασία της άμεσης και προληπτικής ενημέρωσης, όσο και τη σοβαρότητα των απειλών που κινούνται πιο γρήγορα από τη βιομηχανία των patches. Η ταχύτατη κινητοποίηση των διαχειριστών και η εφαρμογή έκτακτων μέτρων προστασίας σε on-premises servers αποτελούν τη μοναδική ασπίδα ενάντια στην απώλεια δεδομένων και την αλυσιδωτή παραβίαση εταιρικών υπηρεσιών. Η δυνατότητα επίμονης παραβίασης, ακόμα και μετά από διόρθωση, φέρνει στο προσκήνιο την ανάγκη για ψήγματα zero trust και εκτενή παρακολούθηση ασφάλειας δικτύου σε πραγματικό χρόνο.