Mandiant Google powiązał grupę hakerską China-Nexus z początkową falą globalnych ataków wykorzystujących krytyczną podatność Microsoft SharePoint. Łańcuch exploit, nazwany „ToolShell” (CVE-2025-53770), pozwala atakującym ominąć uwierzytelnianie i wykonywać kod na wrażliwych serwerach lokalnych.
Przypisanie 22 lipca następuje po burzliwym okresie dla administratorów IT. Microsoft wydał łatki bezpieczeństwa awaryjnego zaledwie jeden dzień wcześniej, starając się zawierać opad. Dzięki opinii dowodu koncepcyjnego, ryzyko dla niepopatlonych organizacji dramatycznie się eskalowało.
aktor China-Nexus powiązany z początkowymi atakami „Toolshell”
Ataki, które naruszyły dziesiątki organizacji na całym świecie, są teraz uwierzone. W oświadczeniu Charles Carmakal, CTO z Mandiant Consulting Google Cloud,
Jednak sytuacja nie jest już zawarta dla jednego zaawansowanego aktora. CARMAKAL ostrzegł, że inni przyjmuje exploit, dodając: „W pełni spodziewamy się, że ten trend będzie kontynuowany, ponieważ różni inni aktorzy zagrożeni, napędzani różnorodnymi motywacjami, również wykorzysta ten exploit”. Podkreśla to pilną potrzebę zastosowania najnowszych łat Microsoftu przed uderzeniem bardziej oportunistycznych atakujących. Sybra jest klasycznym przykładem „obejścia plamy”. Jest to bezpośredni wariant wady ( cve-2025-49706 ) demonstrowane w PWN2own w maju i po nim w lipcu w lipcu. Atakerzy prawdopodobnie wykonywali „Patch Diffing”, aby zaprojektować nowy exploit. Ta technika polega na porównaniu kryminalistycznym kodowi przedopatrzowym i postpatch, aby wskazać dokładną zmianę dokonaną przez programistów. Rozumiejąc poprawkę, mogą polować na alternatywne ścieżki kodu, które osiągają ten sam wynik. Podczas gdy Wykorzystanie mogło rozpocząć się już 7 lipca . Ta wcześniejsza harmonogram sugeruje, że napastnicy mieli zaawansowaną wiedzę na temat szczegółów podatności, być może przed załataniem pierwotnej wady. Sam atak jest ukradkowy i bardzo skuteczny. Według badań Eye Security, które Najpierw wykryli kampanię , napastnicy sadzą plik o nazwie spinstall0.aspx na skompromitowanych serwerach. To nie jest typowy backdoor zaprojektowany do szerokiej kontroli. Jak zauważył zespół badawczy Eye Security: „To nie była typowa WebShell. Nie było interaktywnych poleceń, powtórnych powłok ani logiki dowodzenia i kontroli”. Jego jedynym, ukierunkowanym celem jest wyeliminowanie kluczy maszyn kryptograficznych serwera. Klawisze te są głównymi poświadczeniami dla zarządzania państwem SharePoint Farm, używanych do weryfikacji i odszyfrowania danych sesji. Kradzież tych kluczy zapewnia znacznie bardziej trwałą i niebezpieczną formę dostępu niż prosta Webshell. Jak ostrzega bezpieczeństwo oczu: „Klawisze te pozwalają atakującym podszywać się pod użytkownikami lub usługami, nawet po załataniu serwera. Tak więc samotne łatanie nie rozwiązuje problemu”. To sprawia, że naprawa jest znacznie bardziej złożona niż zwykłe usunięcie złośliwego pliku; Wymaga to pełnego obrotu klucza i łatania. Microsoft początkowo zareagował 20 lipca z wytycznymi łagodzącymi, ponieważ łatka nie była jeszcze dostępna. Firma doradziła administratorom, aby włączyli interfejs skanowania antymalware (AMSI) i . Ta rada została zastąpiona zaledwie 24 godziny później. 21 lipca Microsoft opublikował awaryjne aktualizacje bezpieczeństwa poza pasmem dla SharePoint Subcription Edition, SharePoint 2019 i SharePoint 2016. Firma podkreśliła, że nie ma to wpływu na klientów online SharePoint. Istotność zagrożenia wywołała szybką reakcję rządu. Agencja bezpieczeństwa cybernetycznego i infrastruktury w USA (CISA) dodała CVE-2025-537770 do swojej znane katalog luk w zabezpieczeniach (KEV) , lista wad wymagających natychmiastowego działania federalnego. CISA wydała dyrektywę nakazującą wszystkim federalne agencje cywilne do zastosowania łat Microsoft. W pogotowiu agencja wyjaśniła niebezpieczeństwo: „Ta działalność eksploatacyjna, publicznie zgłoszona jako„ Toolshell “, zapewnia nieautentyczny dostęp do systemów i umożliwia złośliwym aktorom pełny dostęp do treści SharePoint… i wykonywanie kodu przez sieć”. Podkreśla to potencjał pełnego kompromisu systemu, a exfiltracja danych. zagrożenie zagrożenie pogorszyło się znacznie wraz z publikacją dowód koncepcji (POC) exploit na github 21 lipca. Ten kod sprawia, że zaawansowany atak „narzędzi” jest dostępny dla znacznie szerszej gamy złośliwych aktorów, od dzieciaków po gangi ransomware. dostępność POC często precyzyjnie przewyższa masową falę automatycznej, popełniającej ataki wobec dowolnego podatnego serwerowego. Firmy ochroniarskie, takie jak Rapid7 i Bitdefender, wydały własne porady techniczne, wzywając klientów do natychmiastowego załatania. Ten incydent przypomina trwałe zagrożenia, przed którymi stoją infrastruktura lokalna, która często pozostaje w tyle za usługami chmurowymi w postawie bezpieczeństwa. Okaże poprzednie kryzysy bezpieczeństwa SharePoint, w tym inne krytyczne exploits pod koniec 2024 r. Przywołuje także inne problemy z integralnością platformy, takie jak porwanie domeny Microsoft Stream na początku 2025 r., Która wstrzyknęła spam do stron SharePoint. W przypadku organizacji zarządzających własnymi serwerami stała czujność i szybkie łatanie pozostają krytyczną obroną. Od Patch Bypass do zero-day: anatomia exploit
Microsoft rzuca łatki, ponieważ CISA Problemes Dyrektywa
publiczne wydanie exploit eskaluje zagrożenie dla nieopatrzonych serwerów