BM25-001 Kritisk sårbarhet i Microsoft SharePoint Server On-premises utnyttjas aktivt
Microsoft har publicerat information om en kritisk sårbarhet i Microsoft SharePoint Server On-premises, vilken utnyttjas aktivt. Sårbarheten CVE-2025-53770 har av tillverkaren tilldelats en klassning på 9.8 av 10. [1] [2]
I dagsläget finns det ingen uppdatering tillgänglig, Microsoft har dock publicerat förslag på mitigerande åtgärder, och detaljerad information om hur ett utnyttjande kan detekteras samt publicerat IOC:er. [3]
Sårbarheten uppstår på grund av deserialisering av opålitlig data i Microsoft SharePoint On-premises-servrar och kan resultera i att en oautentiserad angripare kan fjärrköra godtycklig kod på den sårbara SharePoint-servern. Sårbarheten ska enligt Microsoft inte påverka SharePoint Online i Microsoft 365.
Artikeln kan komma att uppdateras.
Påverkade produkter
För en fullständig förteckning av påverkade produkter, se [2].
Rekommendationer
CERT-SE rekommenderar att följa tillverkarens rekommendationer.
Vid upptäckt av aktivt utnyttjande rekommenderar vi följande åtgärder:
- Isolera den komprometterade SharePoint-servern. Observera att det inte räcker att blockera åtkomst i brandväggen då angripare redan kan ha etablerat bakdörrar.
- Revokera och rotera hemligheter och lösenord för tjänstekonton, certifikat och tokens som är associerade till SharePoint-servern.
- Undersök den påverkade servern samt närliggande system efter spår av misstänkt aktivitet eller dataexfiltrering kopplat till intrånget. Genomför forensisk analys av den påverkade SharePoint-server samt övriga potentiellt påverkade system.
- Vidta mitigerande åtgärder enligt tillverkarens rekommendationer.
Kontakta CERT-SE
CERT-SE tar gärna emot både teknisk och generell information från drabbade. Mejla till cert@cert.se och märk tydligt upp mejlet med ämnesraden [CVE-2025-53770].
Källor
[1] https://nvd.nist.gov/vuln/detail/CVE-2025-53770
[2] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-53770