Mi történt?

2025 júliusában a Microsoft egy súlyos, nulladik napi (zero-day) sebezhetőséget azonosított a SharePoint Server rendszereiben, amelyet aktívan kihasználnak kiberbűnözők – többek között államilag támogatott kínai hackercsoportok is. A CVE-2025-53770 kód alatt nyilvántartott hiba lehetővé teszi, hogy a támadók teljes jogosultsággal férjenek hozzá a rendszerekhez anélkül, hogy bármiféle hitelesítésre lenne szükség.

❗Miért veszélyes?

A sebezhetőség lehetővé teszi:

• Autentikáció nélküli távoli kódfuttatást (RCE)
• A szerverek kulcsainak megszerzését (MachineKey, __VIEWSTATE manipuláció)
• Tartós hozzáférést és laterális mozgást a szervezet rendszerei között

Ez azt jelenti, hogy a támadó nemcsak beléphet a rendszerbe, hanem onnan kiindulva további belső rendszereket is elérhet, sokszor úgy, hogy az álcázás miatt észre sem veszik azonnal a jelenlétét.

A támadók olyan mély hozzáférést szerezhetnek, amely lehetővé teszi számukra, hogy hosszabb ideig észrevétlenül maradjanak, bizalmas adatokat gyűjtsenek, vagy akár a rendszer működését módosítsák. Ráadásul a megszerzett kulcsokkal a támadó további támadásokat is képes végrehajtani, akár a frissítések telepítése után is – ha az érintett kulcsokat nem cserélik le időben.

Kik állnak a támadások mögött?

A Microsoft szerint legalább három kínai állami háttérrel rendelkező csoport – Linen Typhoon, Violet Typhoon és Storm-2603 – használja aktívan a sérülékenységet célzott kiberkémkedési műveletekhez. Az áldozatok között állami intézmények, nemzetközi vállalatok és érzékeny adatokat kezelő szervezetek is megtalálhatók.

👥Kit érint?

A most felfedezett sebezhetőség nem minden SharePoint-felhasználót érint, de azok számára, akik a Microsoft SharePoint rendszert saját szerveren, azaz helyben (on-premise) futtatják, komoly kockázatot jelent. Nézzük részletesebben:

Érintett rendszerek:

A sebezhetőség a SharePoint Server 2016, 2019, és Subscription Edition verzióit érinti, amennyiben azok nem kapták meg időben a legfrissebb biztonsági frissítéseket.

Nem érintett:

A Microsoft 365 részeként elérhető SharePoint Online – a felhőalapú változat – biztonságban van, mivel ott a frissítéseket automatikusan kezeli a Microsoft.

A legnagyobb veszélyben azok a szervezetek vannak, ahol:

• régebbi SharePoint verzió fut egy belső vagy külső (internetre is nyitott) szerveren,
• a rendszert ritkán frissítik, vagy nem naprakészen karbantartott,
• nincs megfelelő biztonsági mentés, tűzfal, illetve vírus- és behatolásvédelmi megoldás aktívan használatban,
• nem világos, hogy pontosan ki felel a szerverek informatikai karbantartásáért.

Kik az érintettek iparág szerint?

Bár a támadások sokszor kormányzati szervezeteket céloznak, az üzleti szektor sincs biztonságban. Érintettek lehetnek:

• pénzügyi cégek,
• gyártóvállalatok,
• oktatási intézmények,
• jogi és tanácsadó irodák,
• nonprofit szervezetek,
• bármely cég, amely SharePoint-ot használ belső dokumentumkezelésre.

Ha a céged saját SharePoint szervert használ, és nem vagy biztos benne, hogy minden védelmi lépés meg lett téve, akkor érdemes mihamarabb konzultálni szakértővel – a támadók jelenleg is aktívan keresik a nyitott kapukat.

Mit lehet tenni?

A Microsoft már kiadta a biztonsági frissítéseket, de ezek csak akkor hatásosak, ha:

• Telepítésre kerültek az érintett rendszerekre
• Forgalomból kivonták az internetre közvetlenül csatlakozó példányokat (ha nincs AMSI integráció)
• Rotálták a kompromittálódott kulcsokat, hogy a támadók ne tudjanak visszatérni

A CISA (U.S. Cybersecurity and Infrastructure Security Agency) is kiadott egy külön riasztást, kiemelve a sebezhetőség súlyosságát és az azonnali intézkedés szükségességét.

---

🛡️Mit tanulhatunk ebből?

Ez az eset újra rávilágít arra, hogy:

• A helyben futó rendszerek biztonsági kitettsége sokkal nagyobb, mint a jól karbantartott felhős szolgáltatásoké
• Az automatizált védelem (pl. Defender for Endpoint, AMSI integráció) és az aktív monitorozás kulcsfontosságú
• A frissítések késlekedése kritikus üzleti kockázattá válhat

💡Mi hogyan tudunk segíteni?

Cégünk kiemelt szakértelemmel rendelkezik Microsoft-ökoszisztémában:

• SharePoint: üzemeltetés, biztonsági audit, rendszerfrissítések
• Microsoft 365: átfogó védelem, felhőre való migráció
• Információbiztonsági tanácsadás: compliance, kockázatelemzés, IT audit

Ha SharePoint-ot használtok helyben telepítve (on-premise), és nem vagytok biztosak abban, hogy minden védelem érvényesült-e – keressetek minket bizalommal. Egy gyors audit során meg tudjuk nézni, van-e további teendő, és segítünk a teljes védelem kialakításában.