Специалисты глобального центра исследования и анализа угроз Kaspersky GReAT провели технический разбор недавней серии кибератак на серверы Microsoft SharePoint и пришли к выводу, что основой для них стала старая уязвимость, обнаруженная ещё в 2020 году. Как сообщили в «Лаборатории Касперского», злоумышленники использовали эксплойт ToolShell, демонстрирующий прямое сходство с механизмом CVE-2020-1147, который должен был быть закрыт пять лет назад.
Эксперты обратили внимание на то, что недавнее обновление Microsoft, устраняющее уязвимость CVE-2025-53770, по сути перекрывает ту же самую брешь, что и CVE-2020-1147. Это наводит на вывод, что изначальное исправление 2020 года оказалось неполным. Аналогичные уязвимости CVE-2025-49704 и CVE-2025-49706 были формально устранены 8 июля 2025 года, но, как показал анализ, обойти защиту можно было, просто добавив в эксплойт один символ — «/». После подтверждения активной эксплуатации Microsoft выпустила экстренное обновление, устранившее эту уязвимость, и присвоила новые идентификаторы — CVE-2025-53770 и CVE-2025-53771.
По данным телеметрии «Лаборатории Касперского», атаки затронули широкий круг организаций по всему миру. Зафиксированы инциденты в России, Египте, Иордании, Вьетнаме, Замбии. В числе пострадавших — структуры финансового сектора, госучреждения, промышленные предприятия, а также представители лесного и сельского хозяйства. В компании сообщили, что решения Kaspersky NGFW и Kaspersky Symphony XDR начали фиксировать и блокировать атаки задолго до выхода патча от Microsoft.
Борис Ларин, ведущий эксперт Kaspersky GReAT, прокомментировал ситуацию, напомнив, что многие уязвимости, такие как ProxyLogon, PrintNightmare и EternalBlue, используются киберпреступниками спустя годы после их обнаружения. Он отметил, что системам, не получившим своевременных обновлений, по-прежнему угрожают атаки. По его словам, ToolShell имеет простой механизм эксплуатации, и его, вероятно, в ближайшее время начнут встраивать в популярные инструменты для автоматизированных атак.