Хакеры с помощью атаки ToolShell пробрались в банки и государственные структуры пяти стран

Исследователи «Лаборатории Касперского» сообщили о масштабной целевой атаке, получившей название ToolShell, в ходе которой злоумышленники получили контроль над уязвимыми серверами Microsoft SharePoint в ряде стран. Как заявляется в отчёте компании, атака началась в середине июля и привела к заражению систем в Египте, Иордании, России, Вьетнаме и Замбии. Пострадали государственные учреждения, финансовые организации, а также предприятия в аграрном, лесном и промышленном секторах.

Эксперты зафиксировали, что основным вектором заражения стала цепочка эксплойтов, использующих несколько критических уязвимостей. Ключевой из них стала CVE-2025-49706, обнаруженная в методе PostAuthenticateRequestHandler библиотеки Microsoft.SharePoint.dll. Она позволяла обойти механизм проверки подлинности путём подмены HTTP-заголовка Referrer, указывающего на путь «/_layouts/SignOut.aspx» или его вариации. Подобный запрос интерпретировался системой как легитимный, что открывало доступ к серверу.

Как уточняется в докладе, ошибка была связана с неправильной логикой обработки путей. Из-за отсутствия чувствительности к регистру и неполной фильтрации адресов можно было обойти защиту, просто добавив слэш в конец URL. Этот недочёт получил новый номер — CVE-2025-53771. Только после выхода обновления от 20 июля, усилившего проверку допустимых путей, возможность обхода аутентификации удалось существенно сократить.

Другим важным уязвимым элементом оказался CVE-2025-49704, связанный с десериализацией небезопасных данных. Через параметры POST-запроса «MSOtlPn_Uri» и «MSOtlPn_DWP» на адрес «/_layouts/15/ToolPane.aspx» на сервер передавалась вредоносная XML-разметка, содержащая компонент ExcelDataSet из библиотеки Microsoft.PerformancePoint.Scorecards.Client.dll. Вложенные данные попадали в десериализатор BinarySerialization.Deserialize, который, в свою очередь, активировал выполнение произвольного кода через механизм ExpandedWrapper.

Для обхода стандартной проверки типов злоумышленники применяли вложенные списки, маскируя потенциально опасный объект. Как отмечается в исследовании, это был усовершенствованный вариант старой уязвимости CVE-2020-1147. Microsoft ранее пыталась ограничить использование ExcelDataSet, пометив его как небезопасный в конфигурационном файле, но пропустила шаг запуска мастера настройки, что сделало защиту неэффективной. Это потребовало выпуска дополнительной заплатки CVE-2025-53770, включающей ужесточённую проверку типов внутри XmlValidator.