Angrep som utnytter en SharePoint zero-day-sårbarhet retter seg nå aktivt mot tusenvis av organisasjoner over hele verden. Hackere utnytter en kritisk sårbarhet for ekstern kjøring av kode (RCE), sporet som CVE-2025-53770. Microsoft har utgitt nødoppdateringer for å begrense trusselen, men eksperter advarer om at oppdateringer alene ikke er nok.
Eye Security identifiserte sårbarheten først den 18. juli og ga den navnet ToolShell. Siden da har angripere kompromittert over 85 servere tilhørende 54 organisasjoner. Ofrene inkluderer amerikanske delstatsmyndigheter, energi- og helseselskaper, samt private teknologibedrifter.
Sårbarheten gjør det mulig for angripere å legge inn skadelig kode på sårbare SharePoint-servere – uten behov for påloggingsinformasjon. Når de først er inne, kan de stjele kryptografiske nøkler, utgi seg for å være brukere og bevege seg lateralt gjennom tilkoblede Microsoft-tjenester som Teams og Outlook.
Hvilke versjoner er sårbare?
Microsoft har bekreftet at følgende lokale SharePoint-versjoner er sårbare:
- SharePoint Server Subscription Edition – Oppdatering tilgjengelig
- SharePoint Server 2019 – Oppdatering tilgjengelig
- SharePoint Server 2016 – Ingen oppdatering tilgjengelig ennå
- SharePoint Online er ikke berørt
ShadowServer Foundation rapporterer at rundt 9 300 SharePoint-IP-adresser er eksponert daglig. De mest berørte landene inkluderer:
- USA – 3 043
- Irland – 695
- Nederland – 541
- Storbritannia – 541
- Canada – 495
- Tyskland – 338
Hvordan fungerer angrepet?
Feilen skyldes deserialisering av upålitelig data, noe som gir angripere mulighet til å kjøre vilkårlig kode eksternt. Ifølge Microsofts sikkerhetsråd har sårbarheten en CVSS-score på 9,8, som viser hvor alvorlig den er.
Angripere omgår sikkerhetstiltak som MFA (flerfaktorautentisering) og SSO (single sign-on) ved å plante vedvarende bakdører. De droppede ASPX-payloadene lekker kryptografiske nøkler og gir angriperen fortsatt tilgang – selv etter oppdateringer. Eye Security advarer om at angriperne kan overleve omstarter og programvareendringer.
Oppdatering er ikke nok
Microsoft og CISA krever umiddelbare tiltak. Hvis patching blir forsinket eller ikke er mulig, bør systemer kobles fra internett.
Tiltak som bør gjennomføres nå:
- Installer de nyeste oppdateringene for støttede versjoner
- Aktiver AMSI (Antimalware Scan Interface) i full modus
- Installer Microsoft Defender Antivirus på alle SharePoint-servere
- Rotér maskinnøkler og start IIS på nytt for å ugyldiggjøre stjålne tokens
- Gjennomgå logger for mistenkelig ToolPane-tilgang og POST-forespørsler
CISA har lagt sårbarheten til i sin katalog over kjente utnyttede sårbarheter (KEV) og ga føderale etater bare én dag til å patch eller isolere berørte systemer.
Overvåk disse kompromissindikatorene
Hold øye med POST-forespørsler til:
bashCopyEdit/_layouts/15/ToolPane.aspx?DisplayMode=Edit
Kjente angriper-IP-er:
- 107.191.58[.]76
- 104.238.159[.]149
- 96.9.125[.]147
Andre IP-er er sannsynligvis også i bruk.
Oppdater også inntrengningsdeteksjonssystemer og begrens unødvendige administratorrettigheter for å redusere risiko.
Konklusjon
SharePoint zero-day-sårbarheten er en av årets mest alvorlige trusler mot virksomheter. Med muligheter for bakdører, stjålne legitimasjoner og lateral bevegelse i nettverket må organisasjoner handle raskt. Patching, overvåking og nøkkelrotasjon er avgjørende – men isolering av kompromitterte servere kan være den eneste måten å hindre langvarig skade på.
0 svar til “Massiv SharePoint zero-day-sårbarhet truer tusenvis av organisasjoner”