Der Mandiant von
Google hat eine Hacking-Gruppe von China-Nexus mit der anfänglichen Welle der globalen Angriffe in Verbindung gebracht, die eine kritische Microsoft SharePoint-Sicherheitsanfälligkeit ausnutzen. Die Exploit-Kette mit dem Namen”Toolshell”(CVE-2025-53770) ermöglicht es den Angreifern, die Authentifizierung zu umgehen und Code auf gefährdeten On-Premise-Servern auszuführen. Microsoft hat nur einen Tag zuvor eine Notfallpatches veröffentlicht und sich um die Auswirkungen eindämmen. Mit einem jetzt öffentlichen Proof-of-Concept-Exposition ist das Risiko für unpatchierte Organisationen dramatisch eskaliert. In einer Erklärung, Charles Carmakal, CTO von Google Clouds Mandiant Consulting, Angreifer haben wahrscheinlich”Patch Diffing”durchgeführt, um den neuen Exploit zu konstruieren. Diese Technik beinhaltet den forensikalischen Vergleich des Prepatch-und Post-Patch-Codes, um die genaue Änderung der Entwickler zu bestimmen. Durch das Verständnis des Fixes können sie nach alternativen Codepfaden suchen, die das gleiche Ergebnis erzielen. href=”https://thehackernews.com/2025/07/hackers-exploit-sharepoint-zero-days.html”target=”_ leer”> Die Ausbeutung hat möglicherweise bereits am 7. Juli begonnen . Diese frühere Zeitleiste deutet darauf hin, dass die Angreifer die Anfälligkeitsdetails vor dem Patching des ursprünglichen Fehlers erweitert hatten.
Der Angriff selbst ist heimlich und hochwirksam. Nach Forschungen aus der Augensicherheit, die zuerst die Kampagne erkannt hat, pflanzen Angreifer eine Datei mit dem Namen spinstall0.aspx auf kompromittierten Servern. Dies ist keine typische Hintertür, die für eine breite Kontrolle konzipiert wurde. Sein einziger zielgerichtetes Ziel ist es, die kryptografischen Maschinenschlüssel des Servers zu mildern. Diese Schlüssel sind die Master-Anmeldeinformationen für das staatliche Management der SharePoint Farm, das zur Überprüfung und Entschlüsselung von Sitzungsdaten verwendet wird. Während die Augensicherheit warnt,”ermöglichen diese Schlüssel Angreifer, Benutzer oder Dienste zu verkörpern, auch nachdem der Server gepatcht wurde. So kann das Patching das Problem also nicht lösen.”Dies macht die Sanierung weitaus komplexer als einfach eine böswillige Datei zu entfernen. Es erfordert eine vollständige Drehung und Patching. Das Unternehmen riet Administratoren, die Antimalware-Scan-Schnittstelle (AMSI) und zu”_”-Ellublikum”> zu”_ _”-Blankhe”> zu”_ _ _ _ _ _ _ _ _ _ _ _ _ _ _________ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _”. Anmeldeinformationen .
Dieser Rat wurde nur 24 Stunden später abgelöst. Am 21. Juli veröffentlichte Microsoft Notes-of-Band-Sicherheitsaktualisierungen für SharePoint-Abonnement-Edition, SharePoint 2019 und SharePoint 2016. Das Unternehmen betonte, dass SharePoint-Online-Kunden nicht betroffen sind. Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) hat CVE-2025-53770 zu seinem Known Exploited Vulnerabilities (KEV) catalog, a list of flaws Erfordernde sofortige Bundesklage. In ihrer Warnung erklärte die Agentur die Gefahr: „Diese Ausbeutungsaktivität, die öffentlich als„ Toolshell “gemeldet wurde, bietet nicht authentifizierten Zugriff auf Systeme und ermöglicht böswillige Akteure, vollständig auf SharePoint-Inhalte zuzugreifen und Code über das Netzwerk auszuführen.”Dies zeigt das Potenzial für vollständige System-Kompromisse und Datenexfiltration. target=”_ leer”> Proof-of-Concept (POC)-Nutzung auf Github Am 21. Juli macht dieser Code den anspruchsvollen”Toolshell”-Angriff zugänglich für eine viel breitere Bandbreite von böswilligen Schauspielern, von Skriptkiddies bis hin zu Ransomware-Banden. Sicherheitsunternehmen wie Rapid7 und Bitdefender haben ihre eigenen technischen Ratschläge herausgegeben und die Kunden aufgefordert, sofort zu flicken. Es spiegelt frühere SharePoint-Sicherheitskrisen wider, einschließlich anderer kritischer Heldentaten Ende 2024. Für Organisationen, die ihre eigenen Server verwalten, bleiben ständige Wachsamkeit und schnelles Patch eine kritische Abwehr.
