Angreb udnytter aktivt en SharePoint zero-day-sårbarhed og rammer tusindvis af organisationer verden over. Hackere udnytter en kritisk sårbarhed i fjernudførelse af kode (RCE), registreret som CVE-2025-53770. Microsoft har udgivet nødrettelser for at afbøde truslen, men eksperter advarer om, at opdateringer alene ikke er nok.
Eye Security identificerede først sårbarheden den 18. juli og navngav angrebskæden ToolShell. Siden da har angribere kompromitteret over 85 servere fordelt på 54 organisationer. Ofrene inkluderer amerikanske statslige myndigheder, energi- og sundhedsudbydere samt private teknologivirksomheder.
Sårbarheden gør det muligt for angribere at indsætte ondsindede payloads på sårbare SharePoint-servere – uden loginoplysninger. Når de først har adgang, kan de stjæle kryptografiske nøgler, udgive sig for legitime brugere og bevæge sig lateralt gennem tilknyttede Microsoft-tjenester som Teams og Outlook.
Hvilke versioner er sårbare?
Microsoft har bekræftet, at følgende lokale versioner er sårbare:
- SharePoint Server Subscription Edition – Patch tilgængelig
- SharePoint Server 2019 – Patch tilgængelig
- SharePoint Server 2016 – Ingen patch tilgængelig endnu
- SharePoint Online er ikke påvirket
ShadowServer Foundation rapporterer, at cirka 9.300 SharePoint-IP’er er eksponeret dagligt. De mest berørte lande inkluderer:
- USA – 3.043
- Irland – 695
- Holland – 541
- Storbritannien – 541
- Canada – 495
- Tyskland – 338
Sådan fungerer angrebet
Fejlen skyldes deserialisering af utroværdige data, hvilket gør det muligt for en angriber at udføre vilkårlig kode eksternt. Ifølge Microsofts sikkerhedsopdatering har sårbarheden en CVSS-score på 9,8, hvilket understreger dens alvor.
Angribere omgår identitetsbeskyttelse som MFA (multi-faktor-autentificering) og SSO (single sign-on) ved at installere vedvarende bagdøre. De indsatte ASPX-payloads lækker kryptografiske nøgler og giver vedvarende adgang – selv efter opdatering. Eye Security advarer om, at angriberne kan overleve genstarter og softwareændringer.
Opdatering er ikke nok
Microsoft og CISA opfordrer til øjeblikkelig handling. Hvis patching forsinkes eller ikke er muligt, bør systemerne afbrydes fra internettet.
Følgende tiltag bør udføres:
- Installer de nyeste patches til understøttede versioner
- Aktiver AMSI (Antimalware Scan Interface) i fuld tilstand
- Installer Microsoft Defender Antivirus på alle SharePoint-servere
- Rotér maskinnøgler og genstart IIS for at ugyldiggøre stjålne tokens
- Gennemgå logs for mistænkelig ToolPane-aktivitet og POST-anmodninger
CISA har tilføjet sårbarheden til sin liste over kendte udnyttede sårbarheder (KEV) og gav føderale myndigheder kun én dag til at patche eller isolere berørte systemer.
Overvåg disse indikatorer på kompromittering
Hold øje med POST-anmodninger til:
bashCopyEdit/_layouts/15/ToolPane.aspx?DisplayMode=Edit
Kendte angriber-IP’er:
- 107.191.58[.]76
- 104.238.159[.]149
- 96.9.125[.]147
Andre IP’er kan også være i brug.
Opdater også dine systemer til indtrængningsdetektering, og begræns unødvendige administratorrettigheder for at minimere risikoen.
Konklusion
SharePoint zero-day-sårbarheden er en af årets mest alvorlige trusler mod virksomheder. Med mulighed for bagdøradgang, tyveri af legitimationsoplysninger og lateral bevægelse i netværket, skal organisationer handle hurtigt. Opdateringer, overvågning og rotation af kryptografiske nøgler er afgørende – men isolering af kompromitterede servere kan være den eneste måde at forhindre langvarige skader på.
0 svar til “Massiv SharePoint zero-day-sårbarhed truer tusindvis af organisationer”