Attacker som utnyttjar SharePoint zero-day-sårbarheten riktar sig just nu mot tusentals organisationer globalt. Hackare utnyttjar en kritisk sårbarhet för fjärrkörning av kod (RCE), spårad som CVE-2025-53770. Microsoft har släppt nöduppdateringar för att begränsa hotet, men experter varnar för att uppdateringar inte räcker.
Eye Security identifierade först sårbarheten den 18 juli och döpte attackkedjan till ToolShell. Sedan dess har över 85 servrar hos 54 organisationer komprometterats. Offren inkluderar amerikanska myndigheter, energibolag, sjukvårdsorganisationer och privata teknikföretag.
Sårbarheten gör det möjligt för angripare att placera skadlig kod på sårbara SharePoint-servrar – utan att behöva inloggningsuppgifter. Väl inne kan de stjäla kryptografiska nycklar, utge sig för att vara legitima användare och röra sig lateralt i Microsofts ekosystem, inklusive Teams och Outlook.
Vilka versioner är sårbara?
Microsoft har bekräftat att följande lokalt installerade versioner är sårbara:
- SharePoint Server Subscription Edition – Patch finns tillgänglig
- SharePoint Server 2019 – Patch finns tillgänglig
- SharePoint Server 2016 – Ingen patch tillgänglig ännu
- SharePoint Online påverkas inte
Enligt ShadowServer Foundation är i genomsnitt 9 300 SharePoint-IP-adresser exponerade varje dag. De mest drabbade länderna är:
- USA – 3 043
- Irland – 695
- Nederländerna – 541
- Storbritannien – 541
- Kanada – 495
- Tyskland – 338
Hur fungerar attacken?
Felet uppstår genom deserialisering av opålitlig data, vilket gör det möjligt att köra godtycklig kod på distans. Microsoft ger sårbarheten ett CVSS-betyg på 9,8, vilket understryker allvaret.
Angripare kringgår skydd som MFA (multifaktorautentisering) och SSO (single sign-on) genom att plantera permanenta bakdörrar. De ASPX-payloads som läggs in läcker kryptonycklar, vilket ger fortsatt åtkomst – även efter att uppdateringar tillämpats. Enligt Eye Security kan angriparna överleva både omstarter och programuppdateringar.
Uppdatering räcker inte
Microsoft och CISA uppmanar till omedelbara åtgärder. Om uppdatering inte kan genomföras direkt bör servrar kopplas bort från internet.
Rekommenderade åtgärder:
- Installera de senaste patcharna för stödda versioner
- Aktivera AMSI (Antimalware Scan Interface) i fullständigt läge
- Installera Microsoft Defender Antivirus på alla SharePoint-servrar
- Rotera maskinnycklar och starta om IIS för att ogiltigförklara stulna token
- Granska loggar efter misstänkt ToolPane-åtkomst och POST-förfrågningar
CISA har lagt till sårbarheten i sin katalog över kända exploaterade sårbarheter (KEV) och gett federala myndigheter endast en dag att patcha eller isolera drabbade system.
Övervaka dessa indikatorer på intrång
Var särskilt uppmärksam på POST-förfrågningar till:
bashCopyEdit/_layouts/15/ToolPane.aspx?DisplayMode=Edit
Kända angripar-IP:er:
- 107.191.58[.]76
- 104.238.159[.]149
- 96.9.125[.]147
Men det är troligt att fler IP-adresser används.
Uppdatera även system för intrångsdetektion och begränsa administrativa rättigheter för att minska risken.
Slutsats
SharePoint zero-day-sårbarheten är ett av de allvarligaste hoten mot företag i år. Den ger bakdörrsaccess, möjliggör stöld av inloggningsuppgifter och lateral rörelse i nätverket. Organisationer måste agera snabbt. Uppdateringar, loggövervakning och nyckelrotation är avgörande – men det kan också krävas att komprometterade servrar isoleras för att undvika långsiktig skada.
0 svar till ”Massiv SharePoint zero-day-sårbarhet hotar tusentals organisationer”