CVE-2025-53770: Kritiske SharePoint-fejl udnyttes aktivt i naturen

Microsoft har udgivet nødsikkerhedsopdateringer for at løse en kritisk sårbarhed i sin lokale SharePoint Server., advarsel om, at fejlen i øjeblikket udnyttes i naturen. Teknologivirksomheden afslørede også en anden, relateret sårbarhed.

CVE-2025-53770 Kritisk fejl muliggør fjernudførelse af kode

CVE-2025-53770 er et kritisk sikkerhedsproblem med en CVSS-score på 9.8. Fejlen stammer fra usikker deserialisering af upålidelige data, som kan give angribere mulighed for at udføre fjernkode på sårbare SharePoint-servere. Det ser ud til, at kun lokale installationer er udsatte for sårbarheden., uden at SharePoint Online påvirkes.

Denne sårbarhed betragtes som en variant af CVE-2025-49706, en del af en tidligere kendt exploit-kæde kaldet ToolShell, som Microsoft opdaterede tidligere på måneden.

Yderligere spoofing-sårbarhed offentliggjort i CVE-2025-53771

Ved siden af det kritiske problem, Microsoft afslørede også en anden fejl, CVE-2025-53771 med CVSS-score på 6.3, hvilket involverer en svaghed i stigennemtrængning, der kan give autentificerede angribere mulighed for at forfalske indhold på netværket.. Denne fejl, for, påvirker kun selvhostede versioner af SharePoint og blev privat rapporteret af en unavngiven sikkerhedsforsker.

Både CVE-2025-53770 og CVE-2025-53771 er knyttet til tidligere opdaterede fejl. (CVE-2025-49704 og CVE-2025-49706) og har nu modtaget mere omfattende opdateringer for at mindske risikoen for udnyttelse.

Angrebenes omfang

Cybersikkerhedsfirmaet Eye Security har bekræftet, at mindst 54 organisationer, inklusive banker, universiteter, og offentlige myndigheder, er allerede blevet ofre for denne igangværende angrebskampagne. Udnyttelsesaktiviteten menes at være startet omkring juli 18, målretningssystemer eksponeret for internettet.

CVE-2025-53770 er blevet tilføjet til Kendte udnyttede sårbarheder (KEV) katalog af USA. Cybersecurity and Infrastructure Security Agency (CISA), som opfordrer alle føderale civile udøvende magts agenturer til at implementere de nødvendige programrettelser inden juli 21.

Hvorfor patching ikke er nok

Sikkerhedseksperter understreger, at implementering af programrettelser kun er én del af løsningen.. Ifølge Palo Alto Networks' afdeling 42, Angribere omgår multifaktorgodkendelse (MFA) og enkeltlogon (SSO) systemer for at opnå privilegeret adgang. Når du er inde, de suger data ud, installation af vedvarende malware, og stjæle krypteringsnøgler – hvilket udgør en bredere trussel mod Microsofts økosystem.

Enhed 42 advarede om, at organisationer bør påtage sig kompromis, hvis de kører internetvendte SharePoint-servere. I betragtning af den dybe integration af SharePoint med tjenester som Office, Hold, OneDrive, og Outlook, Ethvert brud kan give angribere adgang til en organisations mest følsomme data.

De understregede også, at det kan være nødvendigt at afbryde sårbare SharePoint-instanser fra internettet som en øjeblikkelig forsvarsforanstaltning..

Anbefalede handlinger for kunder

For at reducere risiko og minimere potentiel skade, Microsoft rådgiver organisationer til at tage følgende skridt:

• Opdater alle SharePoint Server 2016, 2019, og installationer af abonnementsudgaver
• Installer de seneste sikkerhedsopdateringer til SharePoint
• Aktivér Antimalware Scan-grænsefladen (AMSI) og sæt den til fuld tilstand
• Brug Microsoft Defender for Endpoint eller en anden sammenlignelig EDR-løsning
• Roter ASP.NET-maskinnøgler og genstart IIS på alle SharePoint-servere efter opdatering

I tilfælde hvor AMSI ikke kan aktiveres, Microsoft anbefaler kraftigt at rotere maskinnøglerne efter opdateringen som et afgørende skridt..

Opdaterede versioner

Følgende versioner inkluderer den nyeste beskyttelse:

• Microsoft SharePoint Server 2019 (16.0.10417.20027)
• SharePoint Enterprise Server 2016 (16.0.5508.1000)
• SharePoint Server-abonnementsudgave
• SharePoint Server 2019 Core
• SharePoint Server 2016 (opdatering afventer)