Microsoft подтвердила взлом SharePoint хакерами из Китая: среди жертв могло быть Агентство ядерной безопасности США

После предупреждения Microsoft на этой неделе о «активных атаках» на клиентов SharePoint Server через известную уязвимость, компания опубликовала подробности о взломе. Согласно блогу Microsoft, локальные серверы SharePoint подверглись атаке трех китайских хакерских групп, связанных с государственными структурами: Linen Typhoon, Violet Typhoon и Storm-2603. Они использовали уязвимости подмены (spoofing) и удаленного выполнения кода.

Reuters сообщает, что, по данным Ваиши Бернард, главы Eye Security, к выходным было скомпрометировано около 100 организаций. Фонд Shadowserver уточнил, что большинство пострадавших находятся в США и Германии, среди них — государственные учреждения.

Bloomberg со ссылкой на осведомленный источник сообщает, что хакеры проникли в систему Национального управления ядерной безопасности США (NNSA), но не получили доступа к секретной информации. NNSA отвечает за управление ядерным арсеналом США и безопасность в этой сфере.

Выпущенный в начале месяца патч не устранил уязвимости, которые, по данным Reuters, впервые были обнаружены в мае на хакерском конкурсе в Берлине.

Microsoft заявила, что атаке подверглись только локальные серверы, а уязвимости (CVE-2025-49706 и CVE-2025-49704) уже устранены во всех поддерживаемых версиях SharePoint Server. Компания настоятельно рекомендует немедленно установить обновления.

«Учитывая быстрое распространение этих эксплойтов, Microsoft с высокой уверенностью оценивает, что злоумышленники продолжат использовать их в атаках на неустраненные локальные системы SharePoint», — предупреждает компания.

Microsoft также советует включить Antimalware Scan Interface (AMSI) и Microsoft Defender Antivirus (или аналогичные решения) для всех локальных развертываний SharePoint, а также настроить AMSI в «Полном режиме». Кроме того, рекомендуется обновить ключи ASP.NET, перезапустить IIS и развернуть Microsoft Defender для Endpoint.