Известните до този момент 400 корпоративни жертви на уязвимостта в сървърния софтуер Microsoft SharePoint могат да се окажат само върхът на айсберга. Всъщност това вероятно е най-големия инцидент в киберсигурността през 2025 година.
Въпреки призивите на Microsoft към потребителите на SharePoint Server да инсталират най-новите софтуерни актуализации, за да се предпазят от рансъмуер вируса Warlock, който може да бъде въведен в системите им чрез веригата уязвимости ToolShell, не всички компании са го направили и поради това остават уязвими за хакери, съобщи Computer Weekly.
На 19 юли 2025 г. Центърът за реагиране на заплахи за сигурността на Microsoft (MSRC) публикува в блога си информация за активни атаки, използващи уязвимости CVE-2025-49706 и CVE-2025-49704, които засягат само локалните SharePoint сървъри, но не и SharePoint Online в Microsoft 365.
Компанията обяви, че е пуснала нови цялостни актуализации на сигурността за всички поддържани версии на SharePoint Server (Subscription Edition, 2019 и 2016), които предпазват от тези и от нови уязвимости CVE-2025-53770 и CVE-2025-53771. Microsoft препоръчва незабавното инсталиране на актуализациите.
Междувременно Kaspersky Lab откри, че новите уязвимости са свързани със CVE-2020-1147, която беше открита през 2020 г. и очевидно не е била коригирана правилно. Според екипа за глобални изследвания и анализи Kaspersky GReAT, експлойтът за CVE-2020-1147 е подобен на експлойта ToolShell.
По-рано Microsoft заяви, че сред хакерите, които експлоатират уязвимостите, са групите Linen Typhoon и Violet Typhoon, за които се предполага, че са подкрепяни от китайското правителство, както и все още некласифицираната група Storm-2603, която в миналото е имала връзки с групи за рансъмуер като LockBit.
Редица кибератаки срещу потребители на SharePoint Server включваха рансъмуер. Правейки връзка с Warlock, Microsoft актуализира своята информация за атрибуции, индикатори за компрометиране (IoC), насоки за смекчаване и защита, както и за откриване и преследване на заплахи.
Според Shadowserver Foundation, към 23 юли в Обединеното кралство има около 600 инсталации на SharePoint, достъпни онлайн, като глобалният им брой наближава 11 000. Около 424 инсталации на SharePoint имат уязвимости в сигурността CVE-2025-53770 и CVE-2025-53771. Около една четвърт от тях са в САЩ.
В изявление Националният център за киберсигурност (NCSC) на Обединеното кралство заяви, че Microsoft и NCSC са били наясно с експлойта и са наблюдавали активни атаки, насочени към SharePoint Server.
Кевин Робъртсън, главен технологичен директор на компанията за управлявано откриване и реагиране (MDR) Acumen Cyber, коментира, че липсата на корекции за откритите преди това уязвимости CVE-2025-49704 и CVE-2025-29706, които биха решили напълно предишните проблеми, е оставила организациите напълно уязвими.
Специалистът смята, че публично обявените 400 компрометирани жертви може да са капка в морето. Освен това не всички организации са инсталирали корекцията, което означава, че техните ИТ среди все още са напълно уязвими.
