Державна служба спеціального зв’язку та захисту інформації України інформує про активну експлуатацію критичних вразливостей у локальних (on-premises) версіях Microsoft SharePoint Server. Про це повідомила команда безпеки Microsoft у своєму блозі 22 липня 2025 року. 

Організаціям, що використовують Microsoft SharePoint, необхідно терміново вжити заходів, оскільки ці атаки можуть призвести до повної компрометації мережі та викрадення даних.

Що сталося?

Зловмисники активно експлуатують вразливості в SharePoint Server. Йдеться про вразливості, що дозволяють отримати несанкціонований доступ до системи та віддалено виконувати код. Метою таких атак є отримання первинного доступу до ваших мереж. Важливо наголосити: ці вразливості стосуються виключно локальних версій SharePoint Server і НЕ впливають на SharePoint Online у Microsoft 365.

Чому це важливо?

SharePoint-сервери часто зберігають великі обсяги чутливої корпоративної інформації. Успішна експлуатація цих вразливостей надає зловмисникам високі привілеї в системі, що створює значні ризики, серед яких:

• викрадення конфіденційних даних – доступ до внутрішніх документів, фінансової інформації, персональних даних співробітників та клієнтів тощо;
• плацдарм для подальших атак – скомпрометований сервер може бути використаний для атак на інші системи всередині мережі організації;
• повна зупинка роботи – можливе знищення / шифрування даних на ЕОМ в мережі, що може призвести до безповоротної втрати важливих файлів та зупинки бізнес-процесів.

Рекомендації: що потрібно зробити негайно?

Національна команда реагування на кіберінциденти, кібератаки, кіберзагрози CERT-UA, що діє в складі Держспецзв’язку, наполегливо рекомендує системним адміністраторам та фахівцям з кібербезпеки виконати наступні кроки.

1. Терміново встановити оновлення безпеки. Це найважливіший крок для закриття вразливостей. Microsoft вже випустила відповідні патчі. Переконайтеся, що ваші SharePoint-сервери оновлені до останньої версії.
2. Перевірити системи на наявність компрометації. Не обмежуйтесь лише встановленням оновлень. Важливо перевірити, чи не був ваш сервер атакований до їх інсталяції. Microsoft надала індикатори кіберзагроз, які допоможуть виявити підозрілу активність, таку як створення нетипових файлів .aspx у каталогах SharePoint або запуск підозрілих процесів.
3. Посилити загальний рівень захисту серверів SharePoint. Дотримуйтесь найкращих практик для адміністрування та захисту серверної інфраструктури.
4. Не дозволяти доступ до SharePoint з мережі інтернет без нагальної на те потреби. У разі якщо це необхідно, то важливо розмістити такий ресурс в демілітаризованій зоні (DMZ).  

Джерело: https://cip.gov.ua/ua/news/ssscip-issues-warning-on-premises-sharepoint-servers-under-attack