В воскресенье, 20 июля, компания Microsoft выпустила срочные патчи, закрывающие две уязвимости в ПО для совместной работы Microsoft SharePoint. Речь идет о корпоративных инсталляциях SharePoint, облачная версия SharePoint Online, входящая в пакет Microsoft 365, не подвержена проблеме. Уязвимости с идентификаторами CVE-2025-53770 и CVE-2025-53771 являются вариантами проблем, обнаруженных еще в мае этого года и пропатченных (как выяснилось, не до конца) в июльском наборе обновлений от Microsoft.

Наибольшую опасность представляет уязвимость CVE-2025-53770 с рейтингом 9,8 балла по шкале CVSS. Она приводит к удаленному выполнению произвольного кода на сервере в результате некорректной обработки входящих данных. Проблема с идентификатором CVE-2025-53771 (рейтинг опасности 6,3) относится к типу path traversal и может использоваться в паре с 53770 для компрометации сервера. Обе уязвимости эксплуатируются в реальных атаках как минимум с 18 июля, о чем впервые сообщила компания Eye Security.

По данным Eye Security, 18 июля они с помощью EDR-решения обнаружили вредоносный объект на сервере клиента. Это был типичный веб-шелл, обеспечивающий возможность удаленного контроля над системой. Изначальное предположение о банальной утечке пользовательских данных для входа в систему было опровергнуто в ходе анализа логов: загрузке веб-шелла не предшествовала авторизация клиента. Зато характер активности совпадал с таковым у ранее продемонстрированной атаки.

В мае этого года на мероприятии Pwn2Own Berlin команда Viettel Cyber Security продемонстрировала атаку, позднее названную ToolShell, по имени уязвимой компоненты /_layouts/15/ToolPane.aspx. Детали двух уязвимостей (CVE-2025-49704 и CVE-2025-49706) были приватно переданы Microsoft, и в начале июля проблемы были закрыты в июльском кумулятивном патче. Теперь Microsoft пишет о том, что проблема была решена лишь частично. Новый способ эксплуатации тех же проблем и привел к серии успешных атак на серверы SharePoint по всему миру.

Уязвимости подвержены версии Microsoft SharePoint Server 2016 и 2019. В воскресенье Microsoft выпустила срочные обновления для SharePoint Server 2019 и вариации SharePoint Server Subscription Edition. Обновление для SharePoint Enterprise Server 2016 на момент подготовки материала еще не было выпущено. Для этой версии, а также в случае невозможности оперативной установки патча Microsoft предлагает ряд мер по защите от взлома, в основном сводящихся к усилению средств по обнаружению вредоносного кода. Microsoft также предоставляет набор индикаторов компрометации. По данным Eye Security, веб-шелл может быть не единственным вариантом развития атаки. В некоторых случаях злоумышленники загружают на сервер скрипт, единственной задачей которого является эксфильтрация криптографических ключей, позволяющих заново получить доступ к данным в будущем. Из-за этого в списке рекомендаций для администраторов есть пункт о ротации ключей.

По информации Eye Security, сканирование сети выявило 85 взломанных серверов, принадлежащих 54 организациям, среди которых крупные частные компании и государственные структуры.

Что еще произошло

В материнских платах GIGABYTE обнаружены уязвимости в загрузчике UEFI, позволяющие обойти систему защиты Secure Boot.

Американское госагентство по кибербезопасности (CISA) выпустило предупреждение о серьезной уязвимости в системе управления грузовыми поездами, используемой в США. В так называемой системе End-of-Train/Head-of-Train данные передаются по радиоканалу с недостаточным уровнем защиты. Это в теории позволяет злоумышленнику передать в эфир сигнал, который приведет к срабатыванию тормозов грузового состава с потенциально катастрофическими последствиями. Проблема известна как минимум с 2012 года, но замены уязвимой системе пока нет.

Еще одна уязвимость нулевого дня (пятая по счету с начала года) закрыта в браузере Google Chrome.

В свежем отчете компания Cloudflare сообщает о рекордной по интенсивности DDoS-атаке: в середине мая в течение 45 секунд на серверы компании поступали мусорные данные со скоростью 7,3 терабита в секунду.

На прошлой неделе имел место очередной скандал, связанный с приватностью пользовательских данных в эпоху развития систем машинного обучения. Компания WeTransfer, предоставляющая услуги хранения и передачи файлов, добавила в пользовательское соглашение пункт об использовании всех загружаемых данных для развития и работы ИИ-систем. В самой компании утверждают, что данный пункт необходим для работы системы модерации контента, которая еще даже не разработана.

Уязвимость нулевого дня обнаружена в корпоративном решении CrushFTP.