A ToolShell: kitartó támadás, egyedi veszélyek
A CVE-2025-53770 valódi veszélye nemcsak abban rejlik, hogy távoli kódfuttatást engedélyez, hanem abban is, hogy egy újfajta támadási láncot, a ToolShell-t használja. A ToolShell-t úgy tervezték, hogy hosszú távon biztosítsa a támadó hozzáférését: a támadó nem csupán átmenetileg hatol be a szerverre, hanem el is lopja a rendszer titkosítási kulcsait (ValidationKey és DecryptionKey), amelyek birtokában saját jogosultsági tokeneket és __VIEWSTATE fájlokat hamisíthat. Így a támadó bármikor visszatérhet, akár egy újraindítás vagy a webshell eltávolítása után is. Emiatt tartja úgy a biztonsági szakma, hogy minden publikus SharePoint szerverről feltételezni kell, hogy már kompromittálódott, ezért azonnali beavatkozás szükséges.
Hogyan működik a ToolShell-exploit?
A támadási láncot 2025 májusában mutatták be először egy szakmai rendezvényen, ahol a CVE-2025-49706 (azonosítás megkerülése) és a CVE-2025-49704 (deszerializációs kódfuttatás) sérülékenységeket kombinálták. Azóta a támadók visszafejtették a kiadott javításokat, hogy újabb réseket találjanak, ami miatt a Microsoft-nak új azonosítókat, köztük a CVE-2025-53771-et kellett kiadnia.
A támadás három fő lépésből áll. Először az azonosítás megkerülését (CVE-2025-53771) használják: a támadó egy POST kéréssel bombázza a /_layouts/15/ToolPane.aspx végpontot, a Referer fejlécet átállítva /_layouts/SignOut.aspx-re, ezzel bizalmasnak álcázva magát. Második lépésben, az így megszerzett jogosultságokkal, deszerializációs hibán keresztül (CVE-2025-53770) futtatja saját rosszindulatú kódját a szerveren. Harmadik lépésben ellopja a szerver ValidationKey és DecryptionKey kulcsait, így tartós, kívülről bármikor elérhető hátsó ajtót teremt magának.
Cloudflare – automatikus védelem rekordidő alatt
Amint elérhetővé vált a kihasználás részlete, a Cloudflare csapata rekordgyorsasággal kezdte fejleszteni védelmi szabályait. 2025. július 21-re élesedtek a Managed WAF szabályok, vagyis a Cloudflare ügyfelek automatikusan védetté váltak a SharePoint-támadással szemben. Az elemzések szerint július 22-én délelőtt, rövid időre akár 300 000 támadási próbálkozást is blokkolt a rendszer egy órán belül. A frissített WAF-szabályok mind a gyors támadásokat (RCE), mind a hosszú távú hozzáférést (hitelesítési tokenek, kulcslopás) képesek blokkolni, így a védelem most már jelentősen erősebb a modern, folyamatosan fejlődő támadásokkal szemben.
Miért különösen veszélyes ez a támadás?
Az egész incidens legnagyobb tanulsága, hogy a támadók ma már nem egyszerűen csak réseket keresnek: a javításokat is elemzik, visszafejtik, hogy újra és újra átjussanak a védelmen. A hosszú távra tervezett, kulcslopással kombinált támadások ellen csak folyamatosan fejlődő, proaktív védelmi rendszerekkel lehet védekezni. Az automatizált Cloudflare WAF szabályrendszer jó példa arra, hogyan lehet egy kibertámadás elleni védelmet mindenki számára gyorsan és hatékonyan biztosítani.
