Критические уязвимости ToolShell в Microsoft SharePoint Server: анализ угроз
Источник: www.welivesecurity.com
Критические уязвимости ToolShell в Microsoft SharePoint Server: новый уровень угрозы для корпоративных систем
Компания ESET Research обнаружила серию критических уязвимостей нулевого дня в Microsoft SharePoint Server, объединённых под названием ToolShell. Как подтвердили в корпорации Майкрософт, эксплойты пользовались активным спросом и применялись злоумышленниками с 19 июля 2025 года. Уязвимости получили идентификаторы CVE-2025-53770 (удалённое выполнение кода) и CVE-2025-53771 (подмена сервера).
Область поражения и последствия атак
Критические уязвимости затрагивают локальные версии SharePoint, включая:
- SharePoint Subscription Edition;
- SharePoint 2019;
- SharePoint 2016.
При этом SharePoint Online в Microsoft 365 остаётся незатронутым. Использование уязвимостей даёт злоумышленникам возможность проникать в корпоративные системы, что может привести к краже конфиденциальных и стратегически важных данных.
Анализ атак и задействованные методы
С момента обнаружения ToolShell вызвали значительный интерес у разных категорий хакеров, от одиночных киберпреступников до APT-групп, включая организации, связанные с национальными государствами. Особую опасность представляет глубокая интеграция SharePoint с другими сервисами Microsoft — это расширяет возможности злоумышленников для последующего доступа к уязвимым сетям.
Примечательно, что злоумышленники сочетают использование уязвимостей нулевого дня ToolShell с применением ранее исправленных дефектов (CVE-2025-49704 и CVE-2025-49706), что повышает эффективность атак.
Методология атак включает обход механизмов многофакторной аутентификации (MFA) и единого входа (SSO), что обеспечивает несанкционированный доступ к системам. Вредоносные веб-оболочки играют ключевую роль в эксплуатации уязвимостей:
- spinstall0.aspx — наиболее известная webshell, отслеживаемая как MSIL/Webshell.JS, облегчает извлечение данных со взломанных серверов;
- Другие ASP веб-оболочки используют стандартные имена файлов, позволяя выполнять команды через
cmd.exe.
География и масштабы инцидентов
Первые попытки эксплуатации выявлены 17 июля в Германии, подтверждённое успешное развертывание атаки произошло 18 июля в Италии. Самым пострадавшим регионом стали Соединённые Штаты, на долю которых пришлось 13,3% всех зафиксированных инцидентов.
Связь с групповыми кибератаками и новые риски
Особенно тревожным фактором является доступ через backdoor, связанный с группой кибершпионажа LuckyMouse. Эта хакерская группировка известна атаками на правительственные и телекоммуникационные компании, что повышает опасения относительно масштабов компрометации уязвимых систем — не исключено, что некоторые из них ранее подвергались взломам через другие каналы.
Рекомендации для организаций
С учётом растущей активности атак, прежде всего со стороны злоумышленников из Китая, организациям, использующим SharePoint Server, настоятельно рекомендуется принять следующие меры защиты:
- Использовать только поддерживаемые версии программного обеспечения;
- Обеспечить своевременное применение всех обновлений безопасности;
- Поддерживать правильную и надёжную конфигурацию системных интерфейсов;
- Регулярно выполнять проверку и мониторинг на наличие вредоносных компонентов.
Обеспечение безопасности SharePoint — критический элемент защиты IT-инфраструктуры в современных корпоративных средах, поскольку угроза эксплуатации ToolShell продолжает оставаться актуальной.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
