Анализ эксплуатации критических уязвимостей SharePoint
Компания обратилась в Singleton Security после попыток эксплуатации внешнего SharePoint-сервера. Нужно было понять, была ли атака успешной, ограничилась ли она публичным сервером или злоумышленники пошли дальше во внутреннюю сеть.
Команда проанализировала образ диска и дамп оперативной памяти сервера SharePoint. В Windows PowerShell. evtx были найдены три волны эксплуатации CVE-2025−53 770 и CVE-2025−53 771: запуск PowerShell-команд с Base64-кодированием, характерных для SharePoint ToolShell Exploit. Первая попытка и последняя — были с разницей в три дня.
Интерес инцидента в том, что атака выглядела как массовая эксплуатация свежих публичных уязвимостей, а не как полноценная целевая операция. При этом одна из попыток была успешной: в каталоге SharePoint был создан spinstall0. aspx, предназначенный для извлечения чувствительных криптографических данных. По MFT подтвердили время создания файла, а по диску, памяти и активности сервисной учетной записи проверили признаки закрепления и бокового перемещения.
Заказчик получил подтверждение: эксплуатация внешнего SharePoint-сервера была успешной, но признаков дальнейшего распространения во внутреннюю сеть не обнаружено.
Были выданы приоритетные меры: закрыть CVE-2025−53 770/CVE-2025−53 771, удалить вредоносный ASPX-файл, проверить секреты SharePoint, ограничить прямую публикацию сервера в Интернет, усилить мониторинг PowerShell и сервисных учетных записей.
