Összefoglalás
A Microsoft SharePoint platformját célzó nagyszabású kibertámadás történt, amely globálisan érintette a kormányzati ügynökségeket, állami szerveket, egyetemeket és vállalatokat, beleértve az Egyesült Államokat, Kanadát és Ausztráliát is. A támadók egy korábban ismeretlen, ún. “zero-day” sebezhetőséget használtak ki, amely távoli kódvégrehajtást (RCE) tesz lehetővé a helyszíni (on-premises) SharePoint szervereken. A Microsoft sürgős biztonsági javításokat adott ki, és elismerte, hogy aktív támadások zajlanak. A helyzet súlyosságát jelzi, hogy a CISA hozzáadta a sebezhetőséget a Known Exploited Vulnerabilities (KEV) katalógusához, és a szakértők szerint a kitett SharePoint szerverekkel rendelkező szervezetek feltételezhetik, hogy kompromittálták őket.
5 perc olvasási idő
Főbb témák és legfontosabb gondolatok/tények:
A támadás jellege és hatóköre
- A támadás a Microsoft széles körben használt SharePoint szerver szoftverét célozta, amelyet kormányok, szervezetek és vállalatok használnak dokumentumkezelésre és -megosztásra.
- “Hackers exploited a major security flaw in widely used Microsoft server software to launch a global attack on government agencies and businesses in the past few days, breaching U.S. federal and state agencies, universities, energy companies and an Asian telecommunications company.”
(A hackerek komoly biztonsági hibát használtak ki a széles körben elterjedt Microsoft szerver szoftverben, hogy globális támadást indítsanak kormányzati ügynökségek és vállalatok ellen, betörve amerikai szövetségi és állami hivatalok, egyetemek, energiacégek és egy ázsiai távközlési vállalat rendszereibe.) - Az Egyesült Államok kormánya, valamint kanadai és ausztrál partnerei vizsgálják a SharePoint szerverek kompromittálását.
- Becslések szerint “Tens of thousands of such servers are at risk.”
(Több tízezer ilyen szerver van veszélyben.) - Az Eye Security szerint “at least 54 organizations have been compromised, including banks, universities, and government entities.” Az aktív kihasználás “around July 18” kezdődött.
(Legalább 54 szervezetet kompromittáltak, köztük bankokat, egyetemeket és kormányzati szerveket. Az aktív kihasználás július 18-a körül kezdődött.)
A sebezhetőség részletei (zero-day és RCE)
- A támadás egy “zero-day” sebezhetőséget használt ki, ami azt jelenti, hogy korábban ismeretlen volt, és a Microsoftnak nem volt azonnali javítása.
- A fő kihasznált sebezhetőség a CVE-2025-53770 (CVSS pontszám: 9.8), amely “remote code execution that arises due to the deserialization of untrusted data in on-premise versions of Microsoft SharePoint Server.”
(Ez a távoli kódvégrehajtás a nem megbízható adatok deszerializálása miatt következik be a helyszíni SharePoint szerverekben.) - Egy másik, újonnan feltárt hiányosság a CVE-2025-53771 (CVSS pontszám: 6.3), amely egy “spoofing flaw in SharePoint.”
(Ez egy megtévesztéses sérülékenység a SharePoint rendszerben.) - Ezek a sebezhetőségek kapcsolatban állnak a CVE-2025-49704 és CVE-2025-49706 hibákkal, amelyek “could be chained to achieve remote code execution,” és a ToolShell nevű exploit lánchoz tartoznak.
(Ezek összefűzhetők, hogy lehetővé tegyék a távoli kódvégrehajtást.) - Fontos megjegyezni, hogy “Both the identified flaws apply to on-premises SharePoint Servers only, and do not impact SharePoint Online in Microsoft 365.”
(A sérülékenységek csak a helyszíni SharePoint szervereket érintik, a Microsoft 365-ös SharePoint Online-t nem.)
Microsoft reakció és korábbi események
- A Microsoft “on Sunday released security patches for an actively exploited security flaw in SharePoint,” megerősítve az “active attacks targeting on-premises SharePoint Server customers.”
(A Microsoft vasárnap biztonsági javításokat adott ki egy aktívan kihasznált SharePoint hibára, megerősítve, hogy támadások zajlanak a helyszíni szervereket használó ügyfelek ellen.) - A cég gyorsan frissítette a javításokat, jelezve, hogy a CVE-2025-53770 és CVE-2025-53771 frissítései “includes more robust protections” a korábbi hibákkal szemben.
(A javítások robusztusabb védelmet nyújtanak, mint a korábbi CVE-k.) - Ez a kibertámadás “only the latest cybersecurity embarrassment for Microsoft.” Tavaly a vállalatot bírálta egy amerikai szakértői testület, amiért hiányosságai lehetővé tették egy 2023-as kínai eredetű hackertámadást.
(Ez csak a legutóbbi kiberbiztonsági kudarc a Microsoft számára.)
A támadás utáni helyzet és javaslatok
- A Palo Alto Networks Unit 42 “high-impact, ongoing threat campaign” néven hivatkozik rá, és megjegyzi, hogy “government, schools, healthcare, including hospitals, and large enterprise companies are at immediate risk.”
(Magas hatású, folyamatban lévő fenyegetési kampány, amely sürgős veszélyt jelent kormányzati szervekre, iskolákra, kórházakra és nagyvállalatokra.) - “Attackers are bypassing identity controls, including MFA and SSO, to gain privileged access,” és miután bejutottak, “they’re exfiltrating sensitive data, deploying persistent backdoors, and stealing cryptographic keys.”
(A támadók megkerülik az azonosítási védelmeket, például a többfaktoros hitelesítést és az egyszeri bejelentkezést, majd érzékeny adatokat szivárogtatnak ki, hátsó kapukat telepítenek és kriptográfiai kulcsokat lopnak el.) - Michael Sikorski figyelmeztetése: “If you have SharePoint on-prem exposed to the internet, you should assume that you have been compromised at this point. Patching alone is insufficient to fully evict the threat.”
(Ha a SharePoint szervered az internetre van kitéve, feltételezheted, hogy már kompromittálták. A frissítés önmagában nem elég a támadók eltávolításához.) - A SharePoint mély integrációja a Microsoft platformmal (Office, Teams, OneDrive, Outlook) különösen aggasztó, mivel “A compromise doesn’t stay contained—it opens the door to the entire network.”
(A kompromittálódás nem marad elszigetelt – megnyitja az utat az egész hálózat számára.)
Mit tehetnek a szervezetek? A Microsoft és a biztonsági szakértők javaslatai
- Azonnali javítások alkalmazása: “Apply the latest security updates.”
(Alkalmazd a legfrissebb biztonsági frissítéseket.)- Microsoft SharePoint Server 2019 (16.0.10417.20027)
- Microsoft SharePoint Enterprise Server 2016 (16.0.5508.1000)
- Microsoft SharePoint Server Subscription Edition
- Microsoft SharePoint Server 2019 Core
- Microsoft SharePoint Server 2016 (TBD)
- ASP.NET gépkulcsok rotálása és IIS újraindítása: “After applying the latest security updates above or enabling AMSI, it is critical that customers rotate SharePoint server ASP.NET machine keys and restart IIS on all SharePoint servers.”
(A frissítések telepítése vagy az AMSI engedélyezése után elengedhetetlen az ASP.NET gépkulcsok cseréje és az IIS újraindítása.) - AMSI és antivírus bekapcsolása: “Ensure the Antimalware Scan Interface (AMSI) is turned on and enable Full Mode for optimal protection, along with an appropriate antivirus solution such as Defender Antivirus.”
(Kapcsold be az AMSI-t, állítsd teljes üzemmódba, és használj megfelelő vírusirtót, például a Defender Antivirus-t.) - Microsoft Defender for Endpoint vagy egyenértékű megoldás telepítése: “Deploy Microsoft Defender for Endpoint protection, or equivalent threat solutions.”
(Telepítsd a Microsoft Defender for Endpoint vagy hasonló védelmi megoldást.) - Eseményreakció és vizsgálat: “Engage in incident response efforts.”
(Végezz incidensreagálási lépéseket, mert a patching önmagában nem elegendő.) - Sürgős, átmeneti megoldás: “An immediate, band-aid fix would be to unplug your Microsoft SharePoint from the internet until a patch is available.”
(Gyors, ideiglenes megoldás lehet, ha lekapcsolod a SharePoint szervert az internetről, amíg elérhető nem lesz a javítás.)
Ez a helyzet kiemeli a folyamatosan fejlődő kiberfenyegetések elleni védekezés fontosságát, különösen az alapvető infrastrukturális szoftverek esetében.
