BM25-001 Kritisk sårbarhet i Microsoft SharePoint Server On-premises utnyttjas aktivt
Microsoft har publicerat information om en kritisk sårbarhet i Microsoft SharePoint Server On-premises, vilken utnyttjas aktivt. Sårbarheten CVE-2025-53770 har av tillverkaren tilldelats en klassning på 9.8 av 10. [1] [2] Sårbarheten kan utnyttjas tillsammans med CVE-2025-53771 [3].
Microsoft har publicerat uppdateringar, förslag på mitigerande åtgärder, samt detaljerad information om hur ett utnyttjande kan detekteras samt publicerat IOC:er. [4]
Sårbarheten uppstår på grund av deserialisering av opålitlig data i Microsoft SharePoint On-premises-servrar och kan resultera i att en oautentiserad angripare kan fjärrköra godtycklig kod på den sårbara SharePoint-servern. Sårbarheten ska enligt Microsoft inte påverka SharePoint Online i Microsoft 365.
Artikeln kan komma att uppdateras.
Uppdatering 2025-07-21
Microsoft har nu publicerat säkerhetsuppdateringar för Microsoft SharePoint Server 2019 och Microsoft SharePoint Server Subscription Edition, samt även uppdaterat förslag på mitigerande åtgärder. [5]
Uppdatering 2025-07-22
En uppdatering till Microsoft SharePoint Server 2016 finns nu tillgänglig. [5]
Uppdatering 2025-07-28
CISA har publicerat ett säkerhetsråd till verksamheter som kör en instans av SharePoint Server som omfattas av sårbarheterna. Rådet innehåller ytterligare rekommendationer till verksamheter som potentiellt hunnit angripas innan dess att uppdateringar fanns tillgängliga eller hunnit installeras. [7]
Uppdatering 2025-07-29
Även efter säkerhetsuppdateringen installerats så kan servern vara komprometterad. De första rapporterade angreppen extraherade ASP.NET-nycklar (SPMachineKey) från SharePoint-servern, vilket ger angriparen fortsatt åtkomst till servern, även efter uppdatering. För att förhindra detta uppmanas användare att rotera nycklarna i SharePoint-servern. [4]
Också andra metoder har observerats, som att placera skadlig kod på servern. I dessa fall räcker det inte att uppdatera och rotera nycklar, utan servern bör undersökas grundligt för att säkerställa att ingen bakdörr installerats.
CERT-SE:s tjänst ANTS har med start den 24 juli skickat riktade notifieringar gällande sårbarheten. Läs mer om ANTS här: https://www.cert.se/rad-och-stod/ants
Påverkade produkter
För en fullständig förteckning av påverkade produkter, se [2].
Rekommendationer
CERT-SE rekommenderar att följa tillverkarens rekommendationer. Det vill säga att installera säkerhetsuppdatering snarast möjligt. Även efter patch installerats kan servern vara komprometterad, och användare uppmanas att rotera ASP.NET-nycklarna (SPMachineKey) i SharePoint Server. Se vidare Microsofts säkerhetsråd. [4]
Kontakta CERT-SE
CERT-SE tar gärna emot både teknisk och generell information från drabbade. Mejla till cert@cert.se och märk tydligt upp mejlet med ämnesraden [CVE-2025-53770].
Källor
[1] https://nvd.nist.gov/vuln/detail/CVE-2025-53770
[2] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-53770
[5] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-53770
[6] https://www.microsoft.com/en-us/download/details.aspx?id=108288