SharePoint „ToolShell”: ataki na czterech kontynentach i co musisz zrobić teraz - Security Bez Tabu

SharePoint „ToolShell”: ataki na czterech kontynentach i co musisz zrobić teraz

Wprowadzenie do problemu / definicja luki

Badacze i dostawcy bezpieczeństwa odnotowali falę ukierunkowanych włamań wykorzystujących łańcuch „ToolShell” przeciwko serwerom Microsoft SharePoint on-prem. Kluczowym elementem jest CVE-2025-53770 – wariant wcześniejszych błędów – pozwalający niezalogowanemu atakującemu na zdalne wykonanie kodu i uzyskanie pełnego dostępu do systemu plików. Ofiarami są m.in. agencje rządowe, uczelnie, telekomy i sektor finansowy, a kampanie wiązane są z grupami powiązanymi z Chinami. Microsoft potwierdził aktywne wykorzystywanie oraz wydał pilne aktualizacje, a CISA opublikowała ostrzeżenia operacyjne.

W skrócie

  • CVE-2025-53770 (ToolShell) dotyczy wyłącznie SharePoint Server on-prem (Subscription Edition/2019/2016 – zależnie od wersji). SharePoint Online nie jest podatny. Microsoft wydał poprawki i szczegółowe wytyczne (w tym o rotacji kluczy).
  • Ataki były ukierunkowane i wieloetapowe: po RCE dropowane są webshelle, następnie uruchamiane narzędzia do rekonesansu, kradzieży poświadczeń i ładunki C2 (np. Sliver). W niektórych przypadkach obserwowano złośliwe oprogramowanie powiązane z ekosystemem ShadowPad.
  • Skala geograficzna: ofiary na czterech kontynentach (Bliski Wschód, Ameryka Płd., USA, Afryka i Europa – sektor finansowy).
  • Reakcja instytucji: CISA publikuje alerty i zalecenia, a Microsoft i dostawcy AV/EDR udostępnili reguły detekcji oraz poprawki.

Kontekst / historia / powiązania

„ToolShell” to ewolucja łańcucha Pwn2Own Berlin (maj 2025), gdzie zademonstrowano połączenie błędów CVE-2025-49704 i CVE-2025-49706 skutkujące RCE na SharePoint. Późniejsze warianty omijające łatki otrzymały identyfikatory CVE-2025-53770 oraz CVE-2025-53771. Microsoft 19–22 lipca 2025 r. opublikował pilne aktualizacje i przewodniki dla klientów.

Analiza techniczna / szczegóły luki

  • Wektor wejścia: deserializacja niezweryfikowanych danych (RCE) w SharePoint; atak bez uwierzytelnienia przez sieć. NVD podkreśla, że exploit jest publicznie dostępny i wykorzystywany w naturze.
  • Łańcuch „ToolShell”: po wykonaniu kodu napastnicy zrzucają webshell (utrzymanie dostępu), następnie rekonesans i ruch boczny. W opisanych incydentach użyto m.in. Zingdoor (Go-backdoor), ShadowPad, KrustyLoader oraz framework Sliver; do utrzymania i eksfiltracji wykorzystywano „living-off-the-land” (np. certutil) i narzędzia red-teamowe (np. Revsocks).
  • Eskalacja i domena: dump LSASS (ProcDump/Minidump), techniki NTLM relay (np. PetitPotam / CVE-2021-36942) w dalszych etapach ataku.
  • Persistencja kryptograficzna: kampanie „ToolShell” często łączą się z kradzieżą kluczy ASP.NET/machineKey, co wymaga ich rotacji po incydencie (nawet po załataniu). Microsoft jednoznacznie zaleca rotację.

Praktyczne konsekwencje / ryzyko

  • Ryzyko systemowe: pełne przejęcie serwera SharePoint, dostęp do zawartości witryn/projektów, ekfiltracja poufnych dokumentów i poświadczeń, pivot do AD.
  • Ryzyko ciągłości działania: możliwość wdrożenia ransomware (np. przez inne grupy, w tym Warlock) i zatrzymania krytycznych procesów biznesowych.
  • Ryzyko prawne i reputacyjne: wycieki danych osobowych/handlowych → RODO, NDA, utrata przewagi konkurencyjnej.
  • Ekspozycja: dotyczy wyłącznie on-prem; organizacje zależne od SharePoint Server są istotnie narażone, zwłaszcza gdy instancje są dostępne z Internetu.

Rekomendacje operacyjne / co zrobić teraz

Natychmiast (D+0):

  1. Zainstaluj lipcowe (i nowsze) poprawki SharePoint dla wspieranych wersji (Subscription Edition, 2019; producent publikował osobne wskazówki) i zweryfikuj poziom łatek na wszystkich farmach.
  2. Zrotuj klucze ASP.NET/machineKey i inne tajemnice używane przez farmę (po patchu i przeglądzie kompromitacji).
  3. Odizoluj serwery z anomaliami i przeprowadź triage pod kątem webshelli/artefaktów (IoC z vendorów).
  4. Zablokuj ekspozycję HTTP(S) z Internetu – wymuś dostęp przez VPN/ZTNA/WAF z regułami.

W ciągu 24–72h:

  1. Hunting i telemetria: przeszukaj logi pod kątem nietypowych plików .aspx, procesów w3wp.exe uruchamiających narzędzia LoL, połączeń do znanych C2 (Sliver), użycia certutil, dumpów LSASS, oraz zdarzeń NTLM relay (PetitPotam). Skorzystaj z wytycznych Microsoft/CISA.
  2. AMSI/EDR: włącz AMSI i egzekwuj ochronę MDE/EDR wraz z regułami dla ToolShell.
  3. Higiena AD: wymuś reset haseł uprzywilejowanych kont, włącz Credential Guard, ogranicz SeDebugPrivilege, monitoruj DC. (przy incydencie – reset biletów, unieważnienie sesji).
  4. Twardnienie SharePoint: ogranicz uploady/egzekucję w Layouts, wdroż polityki AppLocker/WDAC na hostach aplikacyjnych, segmentację sieci, dzienniki HTTP i WAF.
  5. IR i komunikacja: przygotuj oświadczenia zgodne z RODO, plan notyfikacji, kopie zapasowe i procedury odtwarzania.

Długofalowo:

  • Migracja z wersji EoL/2016 – brak pełnego wsparcia zwiększa ryzyko.
  • Ciągły atak surface management: skanowanie ekspozycji i audyty konfiguracji (CISA/Microsoft guidance).

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

  • W odróżnieniu od wcześniejszych kampanii na SharePoint (np. 2019–2023), ToolShell łączy warianty omijające poprawki (53770/53771) z klasycznym łańcuchem RCE i szerokim użyciem narzędzi red-team (Sliver), co przyspiesza pivot i utrudnia detekcję.
  • Ataki przypisywane wielu klastrom powiązanym z Chinami; najnowsze raporty wskazują, że zakres sprawców jest szerszy niż początkowo zakładano.

Podsumowanie / kluczowe wnioski

„ToolShell” to wysokokrytyczny łańcuch nadużyć w SharePoint on-prem, aktywnie wykorzystywany globalnie. Patch + rotacja kluczy + hunting to absolutne minimum. Zespoły bezpieczeństwa powinny potraktować każdy niezłapany incydent jako potencjalny wyciek kluczy i kompromitację domeny.

Źródła / bibliografia

  1. B. Toulas, „Sharepoint ToolShell attacks targeted orgs across four continents”, BleepingComputer, 22 października 2025. (BleepingComputer)
  2. MSRC: „Customer guidance for SharePoint vulnerability CVE-2025-53770”, 19 lipca 2025 (aktualizowane). (Microsoft)
  3. Microsoft Security Blog: „Disrupting active exploitation of on-premises SharePoint vulnerabilities”, 22 lipca 2025. (Microsoft)
  4. CISA Alert: „UPDATE: Microsoft Releases Guidance on Exploitation of SharePoint Vulnerabilities”, 6 sierpnia 2025. (CISA)
  5. Broadcom/Symantec: „CVE-2025-53770 – Critical SharePoint zero-day exploited in the wild”, 21 lipca 2025. (broadcom.com)