Microsoft снова не справилась: хакеры нашли дыру в SharePoint — серверное ПО подверглось кибератаке

Microsoft снова не справилась: хакеры нашли дыру в SharePoint — серверное ПО подверглось кибератаке Новости 21 июля 2025

Zero-day в SharePoint превратился в глобальную киберугрозу: пострадали федеральные и местные ведомства США, университеты, энергетика и телеком. Microsoft выпустила патч — но поздно и не для всех. Хакеры успели украсть ключи доступа — и теперь могут возвращаться даже после обновлений.

Microsoft снова не справилась: хакеры нашли дыру в SharePoint — серверное ПО подверглось кибератаке https://rb.ru/news/microsoft-snova-ne-spravilas-hakery-nashli-dyru-v-sharepoint-servernoe-po-podverglos-kiberatake/

1. Новости

Автор: Никита Стаценко https://rb.ru/author/mkeehl/ Подписаться на RB.RU в Telegram

Это не Microsoft 365 — это хуже

Хакеры нашли дыру в SharePoint — платформе Microsoft для совместной работы и документооборота — и моментально пошли в атаку. По данным The Washington Post, пробиты федеральные агентства США, энергетическая компания в крупном штате, университет в Бразилии, госорган в Испании, ведомство в Альбукерке и некий азиатский телеком.

Всё это — локальные серверы, не облако Microsoft 365. И это плохо: именно на них лежат внутренние документы, пароли, API-интеграции и связки с Outlook, Teams и другими корпоративными инструментами. По оценкам экспертов, уязвимы десятки тысяч серверов. Многие уже скомпрометированы.

«Кто держит SharePoint у себя — у того сейчас проблема», — сказал Адам Майерс, вице-президент CrowdStrike.

Патч был. Но не вовремя. И не для всех

Уязвимость была zero-day — то есть Microsoft о ней даже не знала. Первым сигнал дал независимый исследователь — в пятницу. Первые рекомендации от Microsoft — «отключите от интернета» или «внесите изменения вручную». Только в воскресенье вечером корпорация выкатила патч. И то — для одной версии ПО. Две другие всё ещё под угрозой.

Тем временем хакеры не только пробивались внутрь, но и успели украсть криптографические ключи — с их помощью можно входить в систему даже после обновления. То есть патч, поставленный в понедельник, не спасает, если сервер уже скомпрометирован.

«Мы наблюдаем массовые атаки ещё до выхода обновления, — подтвердил Пит Рэналс из Palo Alto Networks. — Выявлены десятки пробитых организаций — в коммерческом и государственном секторе».

Центр интернет-безопасности США в ночь с субботы на воскресенье разослал предупреждения более чем 100 организациям — от школ до университетов. На всё ушло шесть часов. В норме было бы быстрее, но CISA сократила бюджеты на киберреагирование на 65%.

Компания Microsoft заявила, что работает над оставшимися патчами и от комментариев воздерживается. Представитель CISA сообщил, что о баге стало известно в пятницу, сразу после чего началась координация с Microsoft.

Контекст

Это не первый провал Microsoft за последние два года. В 2023 году китайские хакеры через баг в Exchange получили доступ к переписке более 20 ведомств, включая личную почту министра торговли США Джины Раймондо. Тогда комиссия Белого дома назвала кибербезопасность Microsoft «неадекватной».

Теперь — новая серия багов, новая атака, новый слив. И снова корпорация, которая отвечает за безопасность миллионов, реагирует с задержкой в трое суток.

«На самом деле, Microsoft уделяет достаточно большое внимание безопасности своих продуктов. Открытие новых уязвимостей в них — следствие огромной аудитории пользователей. Хакеры понимают, что одна подобная уязвимость может обеспечить им доступ в миллионы организаций по всему миру, поэтому активно пытаются найти бреши в безопасности ПО Microsoft. То же самое характерно и для решений других международных ИТ-гигантов, и для популярных opensource-библиотек», — считает Михаил Климов, руководитель направления центра мониторинга и реагирования на кибератаки RED Security SOC компании RED Security.

В зоне риска — десятки тысяч российских компаний с «серым» SharePoint

По словам Михаила Климова, в России до сих пор у десятков тысяч компаний сервера на SharePoint, и далеко не все успели закрыть дыру, хотя обновление от Microsoft уже вышло. Эксперт объясняет это тем, что во многих компаниях культура своевременного обновления ПО отсутствует. По его мнению, если атака распространится на Россию, они с большой долей вероятности пострадают.

«На компаниях, которые подпадают под особое внимание регулирующих органов в сфере кибербезопасности (государственные структуры и крупный бизнес, относящийся к КИИ), взлом серверов Microsoft не должен отразиться, если они вовремя перешли на отечественное ПО. Что касается компаний, которые продолжают неофициально использовать ПО от данного вендора, то они находятся в зоне риска, особенно если у них установлены непропатченные, уязвимые версии», — предупреждает ведущий эксперт по сетевым угрозам, web-разработчик компании «Код Безопасности» Константин Горбунов.

Согласно данным телеметрии Kaspersky, попытки эксплуатации уязвимости зафиксированы по всему миру — включая Африку, Азию, Ближний Восток и Россию. Компрометация серверов может привести к несанкционированному доступу к внутренним данным, нарушению процессов аутентификации, удалённому запуску вредоносного кода и длительному присутствию атакующих в инфраструктуре.

«Наши решения проактивно выявляли и блокировали вредоносную активность, связанную с этой уязвимостью», — заявил директор Kaspersky GReAT Игорь Кузнецов.

Если сервер пробьют, дальше — по классике: либо шифруют всё, что движется, либо сливают данные, либо просто молча следят. Всё зависит от фантазии тех, кто зашёл внутрь — и от того, сколько стоит «жертва». Особую тревожность у эксперта Kaspersky вызывает тот факт, что даже после установки патчей уязвимость может продолжать использоваться атакующими — если не были приняты дополнительные меры, такие как смена криптографических ключей.

«Мы настоятельно рекомендуем всем организациям, использующим Microsoft SharePoint Server, как можно скорее установить последние обновления, провести аудит систем на предмет возможной компрометации и обязательно сменить ключи аутентификации», — объясняет, как обезопасить себя директор Kaspersky GReAT Игорь Кузнецов.