Mi az a SharePoint, és miért ekkora ügy?
A SharePoint 2001 óta segíti a dokumentumok megosztását cégeken és intézményeken belül. Tavaly mintegy 400 ezer szervezet – köztük a Fortune 500 vállalatok 80 százaléka – használta aktívan, vagyis világszerte több millió felhasználót érint. Ennek ellenére biztonsági rést fedeztek fel, amely lehetővé teszi, hogy támadók mindenféle jogosultság nélkül, teljes távoli hozzáférést szerezzenek egy SharePoint szerverhez, és tetszőleges kódot futtassanak. Az eszköz veszélyességét jól mutatja a hivatalosan 9,8-as súlyossági értékelés (a legmagasabb 10-es skálán).
Kik támadnak, és hogyan működik a ToolShell?
A támadást három, a kínai kormányhoz köthető hackercsoport indította – köztük a régóta ismert Linen Typhoon (szellemi tulajdon megszerzése céljából) és a Violet Typhoon (klasszikus kémkedési célokkal). A harmadik csoport, a Storm-2603, korábban zsarolóvírusokhoz kötődött. Nem elhanyagolható tényező, hogy más országok vagy bűnszervezetek is hasznot húzhatnak a CVE-2025-53770 kódszámú hibából. Fontos megemlíteni, hogy a sérülékenység kizárólag a helyben telepített SharePoint rendszereket fenyegeti, a Microsoft 365 felhőalapú szolgáltatását nem.
A ToolShell név az eszközlánc egyik komponenséből, a ToolPane.aspx-ből ered. Itt a támadók autentikációs megkerülést alkalmaznak, amely lehetővé teszi az adatok manipulációját. Eredetileg két hibára, a CVE-2025-49706 és a CVE-2025-49704 sebezhetőségre adtak ki javítást idén tavasszal, de a hétvégén kiderült, hogy a frissítés hiányos volt, így a támadások tovább folytatódhattak.
Mit csinálnak a támadók, ha bejutottak?
A támadók először egy webshell-alapú hátsó ajtót telepítenek a rendszerre, majd ezen keresztül hozzáférnek a SharePoint szerver legérzékenyebb adataihoz. Így adminisztrátori jogosultságokat szerezhetnek – még akkor is, ha a rendszert többfaktoros hitelesítés vagy egyszeri bejelentkezés védi. A legjellemzőbb támadási módszer során POST kéréseket küldenek a ToolPane végpontra, ahol spinstall0.aspx vagy hasonló scriptet töltenek fel. Ez a script megszerzi a szerver titkosított MachineKey beállításait, majd továbbítja a dekódolt kulcsot a támadónak.
Ezután a támadók érzékeny adatokat szivárogtatnak ki, további hátsó ajtókat telepítenek, így hosszú távon megtarthatják hozzáférésüket.
Mit tehetsz, ha SharePoint rendszert üzemeltetsz?
A legfontosabb teendő, hogy azonnal telepítsd a Microsoft által szombaton kiadott frissítést. Azonban a javítás csak a kezdet: alaposan át kell vizsgálni a rendszer eseménynaplóját, gyanús aktivitás nyomai után kutatva, mivel a fertőzésnek alig van érzékelhető jele. A kompromittálódás indikátorait a Microsoft, az Eye Security, valamint több nemzetbiztonsági és informatikai cég honlapján is elérheted.
A ToolShell támadási hulláma újabb példája annak, mennyire valós veszélyt jelent a professzionális kiberbűnözés és a nemzetállami kémkedés bármely nagyobb szervezet számára.
