Китайские APT пошли ва-банк: три дыры в SharePoint, и патчи уже не спасают
NewsMakerКитайцы нашли обход, пока вы обновлялись.
Microsoft подтвердила, что за атакой на локальные инсталляции SharePoint Server стоят три хакерские группы, связанные с Китаем. Как следует из отчёта Microsoft , ещё с начала июля уязвимости CVE-2025-53770 и CVE-2025-53771 активно эксплуатировались группировками Linen Typhoon (APT27), Violet Typhoon (APT31) и Storm-2603.
Все три группировки атаковали интернет-доступные серверы, используя обходы предыдущих патчей для уязвимостей CVE-2025-49704 и CVE-2025-49706 . Основной метод — отправка POST-запросов к ToolPane, что позволяет обойти аутентификацию и выполнить произвольный код. После внедрения атакующие разворачивают веб-шеллы
Исследователи Eye Security первыми сообщили о целевых атаках, вызванных этой уязвимостью, и задокументировали активное использование PowerShell-скриптов и вредоносных ASPX-файлов внутри уже скомпрометированных систем. Эти техники позволяют злоумышленникам быстро распространяться по сети, не вызывая подозрений.
Дополнительные технические детали атаки привёл исследователь Ракеш Кришнан. В отдельном анализе он описал, как при эксплуатации уязвимости запускаются три процесса Microsoft Edge —
В Microsoft подчёркивают, что простая установка патча недостаточна: если атакующие уже получили доступ, необходимо ротация ASP.NET machine keys, перезапуск IIS, а также включение AMSI в полном режиме и развёртывание средств обнаружения угроз (например, Microsoft Defender for Endpoint). Также предупреждается, что эксплойты могут быть адаптированы другими группами и использованы повторно против уязвимых систем.
Это уже второй крупный инцидент, в котором Китай обвиняют в атаках на Microsoft-продукты. В 2021 году подобный масштаб был достигнут во время кампании ProxyLogon, когда взлому подверглись десятки тысяч Exchange-серверов. Тогда атаки были приписаны группе Hafnium (Silk Typhoon).
Ранее, в уже опубликованной новости на SecurityLab , описывались первые признаки компрометации, включавшие похищение ключей MachineKey, установку бэкдоров и сохранение доступа после обновления. Теперь подтверждение со стороны Microsoft о китайской атрибуции и массовом использовании обходов усиливает оценку угрозы.
Microsoft подтвердила, что за атакой на локальные инсталляции SharePoint Server стоят три хакерские группы, связанные с Китаем. Как следует из отчёта Microsoft , ещё с начала июля уязвимости CVE-2025-53770 и CVE-2025-53771 активно эксплуатировались группировками Linen Typhoon (APT27), Violet Typhoon (APT31) и Storm-2603.
Все три группировки атаковали интернет-доступные серверы, используя обходы предыдущих патчей для уязвимостей CVE-2025-49704 и CVE-2025-49706 . Основной метод — отправка POST-запросов к ToolPane, что позволяет обойти аутентификацию и выполнить произвольный код. После внедрения атакующие разворачивают веб-шеллы
spinstall.aspx (или его варианты), через которые извлекают MachineKey, позволяющий подделывать легитимные запросы и сохранять доступ к системе даже после обновления. Исследователи Eye Security первыми сообщили о целевых атаках, вызванных этой уязвимостью, и задокументировали активное использование PowerShell-скриптов и вредоносных ASPX-файлов внутри уже скомпрометированных систем. Эти техники позволяют злоумышленникам быстро распространяться по сети, не вызывая подозрений.
Дополнительные технические детали атаки привёл исследователь Ракеш Кришнан. В отдельном анализе он описал, как при эксплуатации уязвимости запускаются три процесса Microsoft Edge —
Network Utility, Crashpad Handler и GPU Process — чтобы эмулировать поведение легитимных приложений и избежать обнаружения. Кроме того, используется механизм Google Client Update Protocol (CUP) , благодаря которому вредоносный трафик маскируется под обычные запросы на обновление браузера. В Microsoft подчёркивают, что простая установка патча недостаточна: если атакующие уже получили доступ, необходимо ротация ASP.NET machine keys, перезапуск IIS, а также включение AMSI в полном режиме и развёртывание средств обнаружения угроз (например, Microsoft Defender for Endpoint). Также предупреждается, что эксплойты могут быть адаптированы другими группами и использованы повторно против уязвимых систем.
Это уже второй крупный инцидент, в котором Китай обвиняют в атаках на Microsoft-продукты. В 2021 году подобный масштаб был достигнут во время кампании ProxyLogon, когда взлому подверглись десятки тысяч Exchange-серверов. Тогда атаки были приписаны группе Hafnium (Silk Typhoon).
Ранее, в уже опубликованной новости на SecurityLab , описывались первые признаки компрометации, включавшие похищение ключей MachineKey, установку бэкдоров и сохранение доступа после обновления. Теперь подтверждение со стороны Microsoft о китайской атрибуции и массовом использовании обходов усиливает оценку угрозы.