Microsoft виправила пару вразливостей—CVE-2025-49706 та CVE-2025-49704—два тижні тому у рамках щомісячного оновлення компанії. Як стало відомо на вихідних, виправлення виявилися неповними, що відкриває двері для нових атак на організації по всьому світу.
Q: Які саме зловмисні дії здійснюють атаки за допомогою нових експлойтів ToolShell?
A: Згідно з численними технічними дослідженнями, зловмисники спочатку заражають уразливі системи бекдором на основі веб-терміналу, що надає доступ до найчутливіших частин серверу SharePoint. Звідти веб-термінал витягує токени та інші облікові дані, які дозволяють зловмисникам отримати адміністративні привілеї, навіть якщо системи захищені багатофакторною автентифікацією та єдиним входом. Опинившись всередині, зловмисники ексфільтрують чутливі дані та розгортають додаткові бекдори, що забезпечують постійний доступ для майбутнього використання.
Для тих, хто бажає отримати технічні деталі, перший етап атаки полягає в надсиланні POST-запитів веб до кінцевої точки ToolPane. Запити виглядають ось так:
Microsoft повідомила, що ці запити завантажують зловмисний скрипт під назвою spinstall0.aspx, або альтернативно spinstall.aspx, spinstall1.aspx, spinstall2.aspx тощо. Скрипт містить команди для отримання зашифрованої конфігурації MachineKey сервера SharePoint і повернення розшифрованих результатів зловмиснику через GET-запит.
Q: Я підтримую локальний сервер SharePoint. Що мені робити?
A: У короткому вигляді—перервіть все, що ви робите, і уважно перевірте вашу систему. Перше, на що слід звернути увагу, чи отримала вона екстрені патчі, які Microsoft випустила в суботу. Встановіть патч негайно, якщо це ще не було зроблено.
Виправлення вразливості—це лише перший крок, оскільки системи, заражені через цю вразливість, можуть проявляти незначні або відсутні ознаки компрометації. Наступним кроком є детальний перегляд системних журналів подій у пошуках ознак компрометації. Ці ознаки можна знайти у багатьох документальних матеріалах, включаючи матеріали Microsoft та Eye Security (за наведеними вище посиланнями), а також у рекомендаціях від Cybersecurity and Information Security Agency США та безпекових компаній, таких як Sentinel One, Akamai, Tenable та Palo Alto Networks.