19 lipca Microsoft poinformował o ujawnieniu krytycznej podatność typu Remote Code Execution (RCE) w lokalnych instancjach Microsoft SharePoint Server, oznaczoną jako CVE-2025-53770 (zwaną również ToolShell) [1]. Microsoft oraz niezależne zespoły badawcze (m.in. Eye Security, Palo Alto Networks Unit 42) [2] ostrzegły o kampaniach masowo wykorzystujących tę lukę, o czym poinformowała także amerykańska Agencja ds. Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury [3].
Opis podatności
Dotyczy: Wyłącznie on-premise wersji SharePoint Server (2016, 2019, Subscription Edition)
Nie dotyczy: SharePoint Online (Microsoft 365)
Podatność CVE-2025-53770 9.8 CVSS wynika z błędnego przetwarzania danych wejściowych w mechanizmie deserializacji, co umożliwia atakującemu wykonanie dowolnego kodu na serwerze bez uwierzytelnienia. Wariant ten jest powiązany z wcześniej znaną luką CVE-2025-49706 i może być łączony z innymi podatnościami (np. CVE-2025-49704) w ramach łańcucha ataku ToolShell.
Ataki polegają zasadniczo na dostarczaniu ładunków ASPX za pośrednictwem programu PowerShell. Atakujący wykorzystują specjalnie spreparowane żądania HTTP (np. do /ToolPane.aspx) z nagłówkiem Referer: /_layouts/SignOut.aspx, co umożliwia obejście uwierzytelnienia. Po uzyskaniu dostępu, instalowane są webshelle (np. spinstall0.aspx) umożliwiające trwałą kontrolę nad serwerem. W niektórych przypadkach atakujący kradną klucze MachineKey (ValidationKey i DecryptionKey) [4]. Są one konieczne do podpisania (opcjonalnie szyfrowania) __VIEWSTATE, czyli podstawowego mechanizmu w ASP.NET, który przechowuje informacje o stanie między żądaniami. To właśnie __VIEWSTATE wykorzystywany jest do generowania payloadów i dalszego wykonywania kodu.
IoC — jak wykryć wykorzystanie podatności
Eye Security zgromadziło listę potencjalnych wskaźników naruszenia systemów — zbiór informacji z różnych źródeł, m.in. Unit42 [2, 5]. W przypadku wykrycia któregokolwiek ze wskaźników należy założyć, że prawdopodobnie doszło do incydentu.
- Ruch sieciowy z adresów IP: 191.58.76, 104.238.159.149, 96.9.125.147, 103.186.30.186 .
- Ciągi agenta użytkownika: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:120.0) Gecko/20100101 Firefox/120.0 oraz Mozilla/5.0+(Windows+NT+10.0;+Win64;+x64;+rv:120.0)+Gecko/20100101+Firefox/120.0 .
- Nietypowe żądania POST do: /_layouts/15/ToolPane.aspx?DisplayMode=Edit .
- Nagłówek HTTP użyty do wykorzystania ToolPane.aspx w żądaniu POST związanym z CVE-2025-53770 : Referer: /_layouts/SignOut.aspx .
- Żądanie GET do złośliwego pliku ASPX w: /_layouts/spinstall0.aspx .
- Hash SHA256 programu do wychwytywania kryptografii spinstall0.aspx prawdopodobnie utworzony za pomocą Sharpyshell: 92bb4ddb98eeaf11fc15bb32e71d0a63256a0ed826a03ba293ce3a8bf057a514 .
- Ścieżka do złośliwego pliku aspx na serwerach Windows z uruchomionym programem SharePoint: C:\PROGRA~1\COMMON~1\MICROS~1\WEBSER~1\16\TEMPLATE\LAYOUTS\spinstall0.aspx .
Zalecane działania
20 lipca Microsoft opublikował poprawki dla następujących wersji:
- SharePoint Server 2019: 16.0.10417.20027.
- SharePoint Server 2016: 16.0.5508.1000.
- SharePoint Server Subscription Edition, Microsoft SharePoint Server 2019 Core, Microsoft SharePoint Server 2016 (TBD): wersja z lipca 2025.
Poprawki należy zainstalować natychmiastowo — stale spływają informacje o kolejnych podmiotach, które padają ofiarą ataku. Jeżeli nie jest to możliwe, to wówczas należy niezwłocznie włączyć AMSI (Antimalware Scan Interface) w SharePoint Server, ustawiając Full Mode. AMSI powinno być domyślnie aktywne od września 2023 dla wersji 2016/2019 i 23H2 dla Subscription Edition. Co więcej, po uruchomieniu lub zweryfikowaniu AMSI, należy dokonać rotacji MachineKey ASP.NET serwera SharePoint i ponownie uruchomić usługę IIS na wszystkich serwerach SharePoint. Jeżeli AMSI nie może zostać włączone, wówczas należy dokonać rotacji MachineKey po zainstalowaniu poprawek.
Źródła:
[1] https://msrc.microsoft.com/blog/2025/07/customer-guidance-for-sharepoint-vulnerability-cve-2025-53770/
[2] https://research.eye.security/sharepoint-under-siege/
[3] https://www.cisa.gov/news-events/alerts/2025/07/20/cisa-adds-one-known-exploited-vulnerability-cve-2025-53770-toolshell-catalog
[4] https://learn.microsoft.com/en-us/sharepoint/security-for-sharepoint-server/improved-asp-net-view-state-security-key-management
[5] https://github.com/PaloAltoNetworks/Unit42-timely-threat-intel/blob/main/2025-07-19-Microsoft-SharePoint-vulnerabilities-CVE-2025-49704-and-49706.txt