Globalny atak na Microsoft SharePoint: luka zero-day zagraża tysiącom firm

Opublikowane przez: Marcin Szadkowski

W ostatnich dniach doszło do poważnego cyberataku na lokalne serwery Microsoft SharePoint Server, który wywołał globalne zaniepokojenie w środowiskach IT i bezpieczeństwa. Atak, zapoczątkowany około 18-19 lipca 2025 roku, wykorzystał krytyczne luki zero-day, umożliwiające zdalne wykonanie kodu i obejmujący ponad 10 000 organizacji na całym świecie. Wśród ofiar znalazły się instytucje rządowe, agencje federalne oraz firmy z różnych sektorów gospodarki, co podkreśla skalę i złożoność zagrożenia.

  • Microsoft potwierdził masowy atak na lokalne serwery SharePoint Server z wykorzystaniem luk zero-day CVE-2025-53770 i CVE-2025-53771.
  • Ponad 10 000 organizacji na całym świecie, w tym instytucje rządowe i firmy, jest zagrożonych atakiem.
  • Microsoft wydał pilne aktualizacje bezpieczeństwa, ale jedna wersja SharePoint Server pozostaje podatna na atak.
  • Eksperci zalecają natychmiastowe odłączenie lokalnych serwerów SharePoint od internetu oraz dokładne działania naprawcze.
  • Ataki są aktywne, a za ich przeprowadzenie odpowiadają m.in. chińskie grupy hakerskie.

Hakerzy, w tym grupy działające z terytorium Chin, potrafili ominąć zaawansowane mechanizmy uwierzytelniania, takie jak wieloskładnikowa autoryzacja (MFA) i jednokrotne logowanie (SSO). Dzięki temu mogli przeprowadzać kradzieże danych oraz instalować złośliwe oprogramowanie na zaatakowanych serwerach. Microsoft zareagował błyskawicznie, wydając pilne aktualizacje bezpieczeństwa, jednak część wersji oprogramowania pozostaje wciąż podatna. Eksperci zalecają natychmiastowe odłączenie lokalnych serwerów SharePoint od internetu do czasu pełnego zabezpieczenia infrastruktury.

Przebieg i skala ataku na SharePoint Server

Ataki na lokalne serwery Microsoft SharePoint Server zostały po raz pierwszy zarejestrowane w dniach 18 i 19 lipca 2025 roku, jak podaje portal poland.news-pravda.com. Wykorzystano w nich dwie krytyczne luki zero-day, oznaczone jako CVE-2025-53770 oraz CVE-2025-53771, które pozwalają na zdalne wykonanie dowolnego kodu na podatnych maszynach. Microsoft potwierdził masowy charakter incydentu, który według informacji z next.gazeta.pl dotknął ponad 100 organizacji bezpośrednio, a zagrożonych mogło być nawet około 10 000 firm i instytucji na całym świecie.

Jak wskazuje serwis 9to5mac.com, wśród zaatakowanych znalazły się liczne instytucje rządowe w Europie i na Bliskim Wschodzie, a także agencje federalne i stanowe w Stanach Zjednoczonych. Z kolei breitbart.com informuje o próbach wykorzystania tysięcy serwerów SharePoint, z których co najmniej 85 zostało już skompromitowanych, co potwierdzają również raporty bleepingcomputer.com oraz money.pl. Atakujący uzyskują nieautoryzowany dostęp, skutecznie omijając mechanizmy uwierzytelniania, takie jak MFA i SSO, co umożliwia im kradzież danych oraz instalację złośliwego oprogramowania, stwarzając poważne ryzyko dla integralności systemów i poufności informacji.

Reakcja Microsoftu i zalecenia bezpieczeństwa

W odpowiedzi na wykryte zagrożenie Microsoft wydał pilne aktualizacje bezpieczeństwa dla wybranych wersji lokalnego oprogramowania SharePoint Server, w tym SharePoint Server 2019, informują poland.news-pravda.com oraz cnbc.com. Niestety, jak podkreślają CNBC i Forbes, jedna z wersji SharePoint Server wciąż pozostaje podatna na atak, co utrudnia całkowite zabezpieczenie środowiska.

Microsoft zaleca natychmiastowe zainstalowanie dostępnych patchy oraz odłączenie lokalnych serwerów SharePoint od internetu do czasu pełnego zabezpieczenia systemów, jak informują managerplus.pl oraz next.gazeta.pl. Eksperci z Palo Alto Networks (Unit 42) oraz CrowdStrike zwracają uwagę na rozległość zagrożenia oraz konieczność przeprowadzenia szczegółowych analiz po ataku, gdyż hakerzy mogą utrzymywać dostęp do sieci ofiar poprzez tzw. tylne furtki, co potwierdzają źródła imagazine.pl i techno-senior.com. Microsoft podkreśla, że sam proces patchowania to jedynie część działań naprawczych, a usunięcie złośliwego oprogramowania wymaga dalszych, zaawansowanych działań – podaje insurancebusinessmag.com.

Źródła ataku i zakres zagrożenia

Microsoft wskazał, że za cyberatakiem stoją między innymi dwie chińskie grupy hakerskie, a także indywidualny aktor zagrożenia z Chin, jak podaje CNBC. Warto zaznaczyć, że atak nie obejmował chmurowej usługi SharePoint Online w ramach Microsoft 365, co potwierdzają next.gazeta.pl oraz theepochtimes.com, co oznacza, że zagrożenie dotyczy wyłącznie lokalnych instalacji SharePoint Server.

Hakerzy rozpoczęli eksfiltrację wrażliwych plików z zaatakowanych serwerów, co stawia pod znakiem zapytania bezpieczeństwo danych wielu organizacji. Zespół Unit 42 z Palo Alto Networks wykrył aktywność złośliwego oprogramowania celującego w serwery SharePoint, jak relacjonują techno-senior.com. Wśród zaatakowanych podmiotów znalazł się także uniwersytet w Azji Południowo-Wschodniej, co podaje finance.yahoo.com, co pokazuje, że atak miał zasięg międzynarodowy i objął różnorodne instytucje.

Widzimy, jak cyberprzestępcy potrafią wykorzystać słabe punkty popularnego oprogramowania, zagrażając bezpieczeństwu danych na całym świecie. Dlatego specjaliści i firmy technologiczne podkreślają, jak ważne jest zachowanie czujności, szybkie reagowanie i wprowadzenie skutecznych zabezpieczeń, by ograniczyć skutki takich ataków i ochronić się przed kolejnymi.