🛡 Уязвимости нулевого дня в Microsoft SharePoint: что важно знать и как защититься?

Microsoft опубликовала информацию о критических 0-day уязвимостях в SharePoint Server (CVE-2025-53770 и CVE-2025-53771), которые позволяют злоумышленникам выполнять произвольный код на сервере без предварительной аутентификации.

Уязвимости затронули локальные версии SharePoint Server 2016, 2019 и Subscription Edition, а от атак с их эксплуатацией уже пострадали >400 компаний, в том числе в России.

Как работает атака?

Атакующие могут внедрить на SharePoint Server веб-шелл spinstall0.aspx, который считывает конфигурацию сервера SharePoint и крадёт криптографические секреты. Полученные секреты позволяют атакующему создать собственные действительные токены для последующего удаленного выполнения кода с целью кражи данных и проведения дальнейших атак внутри инфраструктуры.

Как защититься?

1️⃣ Обновить SharePoint до актуальной версии.
- SharePoint Server 2016: KB5002744
- SharePoint Server 2019: KB5002754
- SharePoint Server Subscription Edition: KB5002768
2️⃣ Настроить интеграцию с AMSI для защиты от вредоносных запросов.
3️⃣ Изолировать сервер и не публиковать его в интернете.
4️⃣ Развернуть Microsoft Defender или профильные средства антивирусной защиты на всех серверах SharePoint.
5️⃣ Заменить ключи SharePoint Server ASP.NET после применения обновлений или включения AMSI.
6️⃣ Проверить наличие файла spinstall0.aspx в каталоге C:\PROGRA~1\COMMON~1\MICROS~1\WEBSER~1\16\TEMPLATE\LAYOUTS\. Его присутствие может свидетельствовать о компрометации сервера.

R-Vision VM уже детектирует данные уязвимости, позволяя оперативно выявлять подобные угрозы и минимизировать риски для вашей инфраструктуры.

#RVision_Киберрекомендации

⚡ Спикател запускает коммерческий SOC на решениях R‑Vision

R‑Vision SOAR и R‑Vision TIP стали фундаментом нового SOC поставщика облачных и ИБ‑решений. Плейбуки реагирования, агрегация данных и база индикаторов компрометации помогают оперативно выявлять и блокировать атаки: от действий инсайдеров до кампаний APT‑групп и хактивистов.

За счёт автоматизации рутинных процессов время обнаружения и реагирования сокращается в 2–7 раз. Аналитики фокусируются на сложных кейсах, а система сама передаёт индикаторы угроз во внутренние средства защиты для немедленной блокировки.

«С помощью решений R-Vision наш партнёр смог автоматизировать те рутинные операции, на которые без SOAR и TIP систем обычно тратится огромное количество времени аналитиков. Кроме того, дашборды и отчеты этих продуктов помогают развивать SOC и соответствовать заявленным SLA. Интеграция решений R-Vision и Спикател расширяет возможности для мониторинга и реагирования на инциденты, тем самым способствуя повышению устойчивости к киберугрозам компаний различных секторов экономики»,

— прокомментировал Андрей Чечёткин, руководитель управления развития партнёров R‑Vision.

Подробнее о партнёрстве здесь ⬅

#RVision_Новости

⚡️ На портале документации R‑Vision запущен публичный раздел R‑Vision Vulnerability Database — источник подробных данных о покрытии и развитии базы уязвимостей R‑Vision VM.

Раздел включает в себя список поддерживаемых технологий, хронологию изменений базы уязвимостей и возможность отправить запрос на расширение списка технологий.

База уязвимостей R‑Vision VM — это:
🔹 300+ источников, включая официальные фиды вендоров, закрытые базы, отраслевые отчёты и результаты внутренней аналитики;
🔹 700+ стендов, где данные проходят проверку перед публикацией в базе;
🔹 обновление информации об уязвимостях каждые 24 часа;
🔹 20+ специалистов Центра экспертизы R‑Vision, которые занимаются формированием и поддержанием актуальности контента.

Узнать больше о функционале раздела и возможностях базы уязвимостей R‑Vision VM можно здесь ⬅

#RVision_Новости

🤝 Данные ФСТЭК России теперь доступны пользователям R‑Vision SIEM

Специалисты R‑Vision начали получать от регулятора актуальные индикаторы компрометации: хэши подозрительных файлов, IP‑адреса потенциально опасных ресурсов, адреса управляющих серверов ботнетов и другую информацию, указывающую на возможные киберугрозы.

Вся информация оперативно включается в обновления пакетов экспертизы для R‑Vision SIEM. Это позволяет:
🔹 оперативно обнаруживать подозрительные события;
🔹 реагировать на инциденты на ранней стадии;
🔹 предотвращать развитие атак.

«Пользователи R‑Vision SIEM получают доступ к дополнительному источнику актуальных данных о киберугрозах, что повышает защищённость их информационных систем. Это стало возможным благодаря партнёрству с ФСТЭК России и работе нашего исследовательско-аналитического подразделения.

Кроме того, такое взаимодействие между государством и бизнесом укрепляет национальную кибербезопасность, объединяя ресурсы и компетенции для борьбы с цифровыми угрозами»,

— Камиль Баймашкин, директор административного департамента R‑Vision.

🌐 Подробнее о сотрудничестве — на сайте.

#RVision_Новости

👾 Новые и потенциальные угрозы: дайджест трендовых уязвимостей за июль

Аналитики R‑Vision изучили ключевые уязвимости за июль, и всё указывает на то, что сезон отпусков не для хакеров. Под ударом оказались массово используемые продукты: WinRAR, Google Chrome и Microsoft SharePoint Server.

1️⃣ Уязвимости RARLAB WinRAR (CVE‑2025‑6218)
WinRAR ненадлежащим образом проверяет и очищает пути файлов от последовательностей обхода каталогов внутри архива. Это позволяет атакующему сформировать архив с файлами, путь к которым выходит за пределы целевой директории при распаковке.

2️⃣ Уязвимости Google Chrome (CVE‑2025‑6558)
Уязвимость в модулях ANGLE и GPU позволяет атакующему выходить за рамки песочницы Chrome, используя низкоуровневые операции графического процессора, которые браузеры обычно изолируют. 

3️⃣ Уязвимости Microsoft SharePoint Server (CVE‑2025‑53770)
Причиной данной уязвимости являются ошибки в сериализации и десериализации ASPX файлов, которые используются для создания динамических веб‑страниц, в рамках фреймворка ASP.NET, что может привести к удалённому выполнению кода и созданию веб‑шелла. 

Все уязвимости уже добавлены в базу R‑Vision VM. А разбор рисков, сценариев эксплуатации и шагов по устранению — на Хабре.

#RVision_Хабр