Alertă globală SharePoint: hackerii exploatează un zero-day periculos pentru a fura chei și a menține accesul permanent
Un nou val de atacuri cibernetice sofisticate vizează serverele Microsoft SharePoint din întreaga lume, exploatând o vulnerabilitate critică necunoscută anterior. Conform cercetărilor efectuate de Check Point Research și alți specialiști în securitate, exploit-ul este activ din 7 iulie 2025 și afectează organizații guvernamentale, din telecomunicații și companii de software din America de Nord și Europa de Vest. Vulnerabilitatea, identificată ca CVE-2025-53770, este combinată cu alte defecte SharePoint deja cunoscute pentru a permite atacatorilor să obțină acces neautentificat la servere, să escaladeze privilegii și, mai grav, să extragă chei criptografice esențiale. Aceste chei pot fi apoi folosite pentru a menține accesul persistent, chiar și după ce sistemele sunt actualizate. Atacurile sunt în plină desfășurare și reprezintă o amenințare majoră pentru organizațiile care nu reacționează rapid. Campania cibernetică observată folosește o combinație periculoasă de vulnerabilități: CVE-2025-53770 (execuție de cod la distanță), CVE-2025-49706 (spoofing) și altele asociate (CVE-2025-49704 și CVE-2025-53771). Împreună, aceste defecte formează o veritabilă „trambulină” pentru atacatori, permițându-le să pătrundă în SharePoint Server, să escaladeze drepturile și să instaleze web shell-uri malițioase. Printre cele mai importante instrumente folosite în atac se află fișierul spinstall0.aspx, un web shell care extrage cheile de validare și criptare ale serverului. Cu aceste chei în mână, atacatorii pot forja tokenuri de autentificare și pot simula sesiuni legitime, practic devenind invizibili pentru sistemele de detecție clasice. Un alt fișier identificat în atacuri este xxx.aspx, un shell cu funcții de autentificare, execuție de comenzi și upload de fișiere. În unele cazuri, atacatorii au folosit tehnici avansate fără a scrie fișiere pe disc, executând module .NET direct în memorie – o tactică care complică semnificativ detectarea și analiza post-incident. Deosebit de îngrijorător este faptul că aceste atacuri nu sunt doar teoretice. Exploatări active au fost deja detectate în SUA, Canada, Germania, Olanda, Mexic, Austria, Elveția, Africa de Sud și Iordania. Conform SentinelOne, campaniile inițiale au fost extrem de selective, vizând organizații cu acces privilegiat sau cu valoare strategică. Cine se află în spatele atacurilor și de ce contează Deși identitatea precisă a actorilor din spatele acestor atacuri rămâne neclară, specialiștii de la Mandiant (parte a Google Cloud) susțin că una dintre entitățile implicate este asociată cu statul chinez. Charles Carmakal, CTO la Mandiant Consulting, a declarat că exploatările timpurii indică o legătură cu o grupare de hacking aliniată Chinei, care ar fi acționat cu scopul de a fura materiale criptografice pentru a compromite ulterior infrastructuri critice. Pe lista țintelor se regăsesc firme de consultanță în tehnologie, producători, organizații din infrastructura esențială și companii implicate în arhitectură și inginerie. Asta sugerează o motivație strategică, nu financiară. Infrastructura atacului a fost identificată ca provenind din cel puțin trei IP-uri distincte, unul dintre ele fiind anterior legat de atacuri asupra platformei Ivanti Endpoint Manager. CrowdStrike a raportat blocarea a sute de tentative de compromitere în peste 160 de organizații-client, în timp ce SentinelOne a identificat trei „clustere” distincte de atacatori, dintre care unul opera exclusiv în memorie („no shell”), fără a lăsa urme pe disc. Aceste metode avansate arată că nu este vorba despre o campanie clasică de tip ransomware sau malware oportunist, ci despre o operațiune atent coordonată, cu obiective pe termen lung. Ce măsuri trebuie să iei urgent dacă folosești SharePoint Server Dacă organizația ta folosește SharePoint Server on-premises, este esențial să acționezi rapid pentru a limita expunerea. Microsoft a lansat actualizări de securitate în cadrul Patch Tuesday din iulie 2025, dar noile exploatări CVE-2025-53770 și CVE-2025-53771 au apărut ulterior ca variante care ocolesc patch-urile originale. Iată ce poți face imediat: Aplică toate actualizările disponibile pentru SharePoint Server, inclusiv cele lansate după 15 iulie 2025, care conțin patch-uri mai robuste. Scanează sistemele pentru prezența fișierelor suspicioase, în special spinstall0.aspx sau xxx.aspx, în directoarele LAYOUTS. Roteste cheile criptografice ale serverului (ValidationKey și DecryptionKey) și actualizează toate instanțele asociate. Repornește instanțele SharePoint după aplicarea patch-urilor pentru a te asigura că nu rămân sesiuni persistente active. Monitorizează traficul HTTP POST suspect și comenzi PowerShell care scriu fișiere în locații sensibile. Izolează instanțele expuse public sau folosește un WAF (Web Application Firewall) pentru a filtra cererile malițioase. Verifică autentificările anormale sau sesiunile suspecte în sistemul de loguri. Campania activă de exploatare a vulnerabilităților zero-day din SharePoint confirmă încă o dată că infrastructurile critice pot deveni ținte în orice moment. Ceea ce este diferit acum este viteza cu care atacatorii valorifică exploit-urile și gradul de sofisticare tehnică. Nu e suficient să ai doar un antivirus – ai nevoie de monitorizare continuă, patch-uri aplicate imediat și o echipă pregătită pentru răspuns la incident. Dacă folosești SharePoint, nu te baza pe ideea că „nu ai fost vizat până acum”. Poate deja ești. Acționează acum, nu după ce cheia ta de criptare ajunge pe mâna cui nu trebuie.
Alertă cibernetică: o vulnerabilitate gravă din Chrome este exploatată activ. Actualizează acum!
Google a lansat pe neașteptate, la începutul lunii iunie 2025, un patch de urgență pentru browserul Chrome, după ce o vulnerabilitate critică, identificată drept CVE-2025-5419, a fost descoperită în stare de exploatare activă. Cu un scor de severitate CVSS de 8.8, această problemă afectează motorul V8 responsabil de rularea codului JavaScript și WebAssembly, permițând atacatorilor să corupă memoria printr-o pagină HTML special concepută. Actualizarea a fost publicată rapid, în afara ciclului obișnuit de lansare (out-of-band), semnalând gravitatea situației. Dacă folosești Google Chrome sau un browser bazat pe Chromium (precum Edge, Opera sau Brave), e vital să instalezi cea mai recentă versiune imediat. Nu e o alarmă falsă – atacurile sunt reale și în desfășurare. CVE-2025-5419 este un tip de vulnerabilitate de tip out-of-bounds read/write care afectează motorul V8 – componenta Chrome responsabilă cu executarea codului JavaScript în paginile web. Pe scurt, această deficiență permite citirea sau scrierea în afara limitelor memoriei alocate, ceea ce poate duce la coruperea acesteia și, implicit, la preluarea controlului asupra sistemului țintit. Concret, un atacator poate trimite unui utilizator un link către o pagină HTML aparent inofensivă, dar care conține cod malițios. Odată accesată, aceasta poate exploata eroarea pentru a compromite complet dispozitivul victimei, fără ca utilizatorul să-și dea seama. Descoperirea a fost făcută pe 27 mai de cercetătorii Clement Lecigne și Benoît Sevens din cadrul Google Threat Analysis Group (TAG), o echipă specializată în identificarea amenințărilor sofisticate, inclusiv cele derulate de actori statali. Soluția a fost implementată deja a doua zi în versiunea stabilă a browserului – un semn că Google ia foarte în serios această breșă. În mod obișnuit, Google nu oferă detalii tehnice complete despre atacurile care profită de vulnerabilități zero-day până când majoritatea utilizatorilor sunt protejați, tocmai pentru a preveni propagarea metodei de atac către alți actori rău intenționați. Ce trebuie să faci acum ca să te protejezi În fața unei astfel de vulnerabilități, reacția ta trebuie să fie rapidă. Primul pas este să verifici ce versiune de Chrome folosești și să te asiguri că ai cel puțin versiunea 137.0.7151.68 pe Linux sau 137.0.7151.68/.69 pe Windows și macOS. Pentru a verifica versiunea ta de Chrome: Deschide Chrome. Accesează meniul (cele trei puncte verticale din colțul dreapta sus). Mergi la „Ajutor” > „Despre Google Chrome”. Browserul va începe automat să caute actualizări și le va instala. După actualizare, repornește browserul pentru ca modificările să intre în vigoare. Dacă folosești un browser bazat pe Chromium, cum sunt Microsoft Edge, Brave, Opera sau Vivaldi, trebuie să fii la fel de atent. Deși nu au fost raportate cazuri de exploatare prin aceste browsere, ele folosesc același motor V8 și sunt la fel de vulnerabile până la implementarea patch-ului. Nu ignora notificările de update – în acest context, fiecare zi contează. Un simplu „amânare” poate însemna compromiterea completă a securității tale online. Istoricul atacurilor zero-day și lecțiile din trecut CVE-2025-5419 este deja al doilea zero-day exploatat activ în acest an în Chrome. În urmă cu câteva luni, CVE-2025-2783 (scor CVSS 8.3) a fost folosit în atacuri direcționate împotriva unor organizații din Rusia, fiind identificat de cercetători Kaspersky. Acest tip de vulnerabilități – necunoscute anterior și exploatate înainte ca dezvoltatorii să apuce să le corecteze – sunt extrem de periculoase. Ele sunt adesea utilizate de grupuri bine finanțate, uneori cu legături guvernamentale, și vizează atât ținte de rang înalt, cât și utilizatori de rând, prin campanii de phishing și malware. De aceea, reacția promptă a Google de a publica un patch de urgență este o măsură esențială de limitare a daunelor. Totuși, responsabilitatea finală de protecție îți aparține ție. Actualizează acum browserul, evită să accesezi linkuri suspecte și folosește un antivirus actualizat. Într-o eră în care atacurile informatice sunt mai sofisticate ca niciodată, vigilența este singura ta armă.