Ang Mandiant ng Google ay nag-uugnay sa isang pangkat ng pag-hack ng China-Nexus sa paunang alon ng pandaigdigang pag-atake na sinasamantala ang isang kritikal na kahinaan sa Microsoft SharePoint. Ang chain ng pagsasamantala, na tinawag na”Toolshell”(CVE-2025-53770), ay nagbibigay-daan sa mga umaatake na makaligtaan ang pagpapatunay at isagawa ang code sa mga mahina na on-premise server. Inilabas ng Microsoft ang mga emergency security patch isang araw lamang bago, nag-scrambling upang maglaman ng pagbagsak. Sa pamamagitan ng isang patunay-ng-konsepto na pagsasamantala ngayon sa publiko, ang peligro para sa mga hindi naka-organisadong organisasyon ay tumaas nang malaki. Sa isang pahayag, si Charles Carmakal, CTO ng Google Cloud’s Mandiant Consulting, cve-2025-49706 ) na ipinakita sa pwn2own sa Mayo at kasunod na naayos ng microsoft sa pamamagitan ng pag-update ng microsoft.
Ang mga umaatake ay malamang na gumanap ng”patch na naiiba”upang inhinyero ang bagong pagsasamantala. Ang pamamaraan na ito ay nagsasangkot ng forensically paghahambing ng pre-patch at post-patch code upang matukoy ang eksaktong pagbabago na ginawa ng mga developer. Sa pamamagitan ng pag-unawa sa pag-aayos, maaari silang manghuli para sa mga alternatibong landas ng code na nakamit ang parehong resulta. href=”https://thehackernews.com/2025/07/hackers-exploit-sharepoint-zero-day.html”target=”_ blangko”> Ang pagsasamantala ay maaaring nagsimula nang maaga ng Hulyo 7 . Ang naunang timeline na ito ay nagmumungkahi ng mga umaatake ay may advanced na kaalaman sa mga detalye ng kahinaan, marahil bago ang orihinal na kapintasan ay naka-patched.
Ang pag-atake mismo ay stealthy at lubos na epektibo. Ayon sa pananaliksik mula sa seguridad sa mata, na unang nakita ang kampanya , ang mga umaatake ay nagtatanim ng isang file na nagngangalang Spinstall0.aspx sa nakompromiso na mga server. Hindi ito isang pangkaraniwang backdoor na idinisenyo para sa malawak na kontrol. Ang nag-iisang, naka-target na layunin ay upang maipalabas ang mga key ng cryptographic machine ng server. Ang mga susi na ito ay ang mga kredensyal ng master para sa pamamahala ng estado ng SharePoint Farm, na ginamit upang mapatunayan at i-decrypt ang data ng session. Tulad ng babala ng seguridad sa mata,”Pinapayagan ng mga key na ito ang mga umaatake na ipahiwatig ang mga gumagamit o serbisyo, kahit na matapos ang server ay naka-patch. Kaya’t ang pag-patching lamang ay hindi malulutas ang isyu.”Ginagawa nitong remediation na mas kumplikado kaysa sa pag-alis lamang ng isang nakakahamak na file; Nangangailangan ito ng isang buong pangunahing pag-ikot at pag-patch. Pinayuhan ng Kumpanya ang mga admins na paganahin ang antimalware scan interface (AMSI) at . Noong Hulyo 21, inilabas ng Microsoft ang Emergency, mga pag-update sa seguridad sa labas ng band para sa SharePoint subscription edition, SharePoint 2019, at SharePoint 2016. Binigyang diin ng kumpanya na ang mga customer ng SharePoint online ay hindi apektado. Ang cybersecurity ng Estados Unidos at Infrastructure Security Agency (CISA) ay idinagdag ang CVE-2025-53770 sa Pagsasamantala ng Proof-of-Concept (POC) sa GitHub Noong Hulyo 21. Ang code na ito ay gumagawa ng sopistikadong”toolshell”na pag-atake na maa-access sa isang mas malawak na hanay ng mga nakakahamak na aktor, mula sa mga script kiddies hanggang sa mga gang ng ransomware. Ang mga security firms tulad ng Rapid7 at Bitdefender ay naglabas ng kanilang sariling mga advisory sa teknikal, na hinihimok ang mga customer na mag-patch kaagad. Ito ay sumasalamin sa mga naunang krisis sa seguridad ng SharePoint, kabilang ang iba pang mga kritikal na pagsasamantala sa huling bahagi ng 2024. Para sa mga samahan na namamahala ng kanilang sariling mga server, ang patuloy na pagbabantay at mabilis na pag-patching ay nananatiling kritikal na panlaban.