Η Microsoft εξέδωσε επείγουσες προειδοποιήσεις σχετικά με την ενεργή εκμετάλλευση κρίσιμων ευπαθειών του SharePoint CVE-2025-53770 και CVE-2025-53771 από πολλούς παράγοντες απειλών, συμπεριλαμβανομένης της ομάδας Storm-2603 που εδρεύει στην Κίνα, η οποία αναπτύσσει ransomware Warlock σε παραβιασμένα περιβάλλοντα.
Οι ευπάθειες επηρεάζουν τις εκδόσεις SharePoint Server 2016, 2019 και Subscription Edition, με τις προσπάθειες εκμετάλλευσης να παρατηρούνται ήδη από τις 7 Ιουλίου 2025.
Βασικά συμπεράσματα
1. Τα zero-day του SharePoint CVE-2025-53770/53771 χρησιμοποιούνται για την ανάπτυξη web shells από τον Ιούλιο
2. Storm-2603, Linen/Violet Typhoon διαδίδουν ransomware Warlock.
3. Εφαρμόστε ενημερώσεις, ενεργοποιήστε το AMSI, περιστρέψτε τα κλειδιά και επανεκκινήστε το IIS.
Κρίσιμες Αδυναμίες του SharePoint
Η αλυσίδα επίθεσης ξεκινά με την εκμετάλλευση του CVE-2025-49706, μιας ευπάθειας spoofing και του CVE-2025-49704, ενός ελαττώματος απομακρυσμένης εκτέλεσης κώδικα που επηρεάζει τους διακομιστές SharePoint που είναι συνδεδεμένοι στο Διαδίκτυο.
Οι παράγοντες απειλών διεξάγουν αναγνώριση μέσω αιτημάτων POST στο τελικό σημείο ToolPane, ακολουθούμενη από την ανάπτυξη κακόβουλων web shells με ονόματα spinstall0.aspx και παραλλαγές όπως spinstall1.aspx και spinstall2.aspx.
Το web shell περιέχει εντολές για την ανάκτηση δεδομένων ASP.NET MachineKey, επιτρέποντας στους εισβολείς να κλέψουν κρυπτογραφικά κλειδιά που είναι απαραίτητα για τη διαχείριση και τον έλεγχο ταυτότητας της περιόδου σύνδεσης.
Η Microsoft έχει εντοπίσει τον κατακερματισμό SHA-256 [92bb4ddb98eeaf11fc15bb32e71d0a63256a0ed826a03ba293ce3a8bf057a514] που σχετίζεται με το κύριο ωφέλιμο φορτίο spinstall0.aspx.
Οι δραστηριότητες μετά την εκμετάλλευση περιλαμβάνουν κατάχρηση της διαδικασίας w3wp.exe που υποστηρίζει το SharePoint, με τους εισβολείς να χρησιμοποιούν cmd.exe και services.exe για να απενεργοποιήσουν τις προστασίες του Microsoft Defender μέσω άμεσων τροποποιήσεων μητρώου.
Ransomware Warlock από την Κίνα
Τρεις κύριοι παράγοντες απειλών έχουν εντοπιστεί να εκμεταλλεύονται αυτές τις ευπάθειες: Linen Typhoon και Violet Typhoon, και οι δύο καθιερωμένες κινεζικές ομάδες που υποστηρίζονται από το κράτος και η Storm-2603, η οποία έχει κλιμακώσει τις επιθέσεις για να συμπεριλάβει την ανάπτυξη ransomware.
Η Storm-2603 δημιουργεί επιμονή μέσω πολλαπλών μηχανισμών, συμπεριλαμβανομένων προγραμματισμένων εργασιών και χειραγώγησης στοιχείων των Υπηρεσιών Πληροφοριών Διαδικτύου (IIS) για τη φόρτωση ύποπτων συγκροτημάτων .NET.
Η ομάδα εκτελεί πρόσβαση διαπιστευτηρίων χρησιμοποιώντας το Mimikatz για να στοχεύσει τη μνήμη της Υπηρεσίας Υποσυστήματος Τοπικής Αρχής Ασφαλείας (LSASS), εξάγοντας διαπιστευτήρια απλού κειμένου για πλευρική μετακίνηση μέσω του PsExec και του κιτ εργαλείων Impacket.
Η υποδομή εντολών και ελέγχου περιλαμβάνει τομείς όπως το update.updatemicfosoft.com και τις διευθύνσεις IP 65.38.121.198 και 131.226.2.6.
Η επίθεση κορυφώνεται με την τροποποίηση των Αντικειμένων Πολιτικής Ομάδας (GPO) για τη διανομή ransomware Warlock σε παραβιασμένα δίκτυα.
Η Microsoft έχει κυκλοφορήσει ολοκληρωμένες ενημερώσεις ασφαλείας και συνιστά ανεπιφύλακτα την άμεση επιδιόρθωση, την ενεργοποίηση του Antimalware Scan Interface (AMSI) σε πλήρη λειτουργία και την εναλλαγή των κλειδιών μηχανής ASP.NET του διακομιστή SharePoint, ακολουθούμενη από επανεκκίνηση του IIS χρησιμοποιώντας το iisreset.exe.