Wspólne ustalenia ekspertów Google i Microsoft ujawniają, że sponsorowani przez Chiny hakerzy aktywnie wykorzystują odkrytą niedawno i bardzo groźną lukę typu zero-day w oprogramowaniu Microsoft SharePoint. Tysiące firm jest atakowanych.
Zagrożenie – oznaczone jako CVE-2025-53770 – umożliwia atakującym kradzież kluczy cyfrowych, zdalne instalowanie złośliwego oprogramowania oraz dostęp do poufnych danych przechowywanych w środowiskach firmowych i rządowych.
Groźna luka w SharePoint – tysiące serwerów zagrożone
SharePoint, popularne rozwiązanie do zarządzania i udostępniania dokumentów wewnętrznych, wykorzystywane jest globalnie przez przedsiębiorstwa, urzędy i uczelnie. Luka odkryta zaledwie kilka dni temu dotyczy lokalnie hostowanych wersji SharePoint, w tym tych sięgających aż do SharePoint Server 2016.
Szczególnie niepokojący jest fakt, że wielu klientów – korzystających z lokalnych instancji systemu – nie zdążyło jeszcze załatać swoich środowisk. Ponadto niektóre wersje wciąż czekają na oficjalne poprawki od Microsoftu.
Amerykańska agencja ds. cyberbezpieczeństwa CISA wydała ostrzeżenie o masowych atakach i wezwała do pilnych działań zabezpieczających. Eksperci rekomendują nie tylko instalację aktualizacji, ale również rotację kluczy cyfrowych, które mogły zostać przechwycone przez cyberprzestępców. W niektórych przypadkach sugeruje się nawet odłączenie serwerów SharePoint od internetu.
Kto stoi za atakami? Microsoft wskazuje na Chiny
Microsoft zidentyfikował przynajmniej trzy grupy hakerskie powiązane z Chinami – „Linen Typhoon”, „Violet Typhoon” oraz mniej znaną „Storm-2603”. Każda z nich działa w nieco innym celu: od kradzieży własności intelektualnej po szpiegostwo i ataki ransomware. Firma twierdzi, że ataki rozpoczęły się najpóźniej 7 lipca 2025 roku. Liczba ofiar – według Eye Security – już dziś obejmuje dziesiątki organizacji na całym świecie, w tym amerykańskie agencje rządowe, uczelnie wyższe i firmy z sektora energetycznego.
Zespół Mandiant należący do Google potwierdził z kolei, że co najmniej jeden z aktorów ataku ma wyraźne powiązania z chińskim wywiadem.
Niektórzy eksperci od cyberbezpieczeństwa podkreślają, że luka CVE-2025-53770 jest aktywnie wykorzystywana przez wiele grup cyberprzestępców. Chiński wywiad jest „tylko” jedną z nich.
Kolejny incydent z udziałem Chin
To nie pierwszy przypadek, gdy chińskie grupy hakerskie biorą na cel produkty Microsoftu. W 2021 roku grupa „Hafnium” dokonała masowych włamań do lokalnych serwerów Microsoft Exchange. W 2023 roku zaatakowano natomiast chmurowe środowisko Microsoftu, co umożliwiło dostęp do kont e-mailowych klientów z całego świata. Chiny konsekwentnie odrzucają oskarżenia o prowadzenie cyberataków.
Co mogą zrobić firmy?
Firmy korzystające z lokalnie hostowanych wersji SharePoint powinny działać natychmiast:
- zainstalować dostępne aktualizacje bezpieczeństwa,
- odłączyć podatne instancje od internetu,
- zrotować klucze cyfrowe i certyfikaty używane w środowisku SharePoint,
- skanować sieci pod kątem nieautoryzowanej aktywności.
Z uwagi na integrację SharePointa z usługami takimi jak Outlook, Teams czy OneDrive, luka CVE-2025-53770 może mieć szersze konsekwencje i stanowić punkt wejścia do całych firmowych ekosystemów IT.
Foto: Gemini/AI.