Microsoft biztonsági frissítések SharePoint nulladik napi sebezhetőségekhez

Segítséget kaptál? Szívesen töltöd itt az idődet? Visszajársz hozzánk? Támogasd a munkákat: Ko-fi és Paypal!

kami911 képe

A Microsoft SharePoint biztonsági frissítéseket adott ki a CVE-2025-53770 és a CVE-2025-53771 azonosítójú két nulladik napi sebezhetőséghez, amelyek világszerte veszélyeztettek rendszereket a “ToolShell” támadások során.

Májusban a berlini Pwn2Own hackerverseny során a kutatók kihasználták a “ToolShell” nevű nulladik napi sebezhetőségi láncot, amely lehetővé tette a távoli kódfuttatást a Microsoft SharePointban. Ezeket a hibákat a júliusi Patch Tuesday frissítések részeként javították. A fenyegetési szereplők azonban két nulladik napi sebezhetőséget fedeztek fel, amelyek megkerülték a Microsoft korábbi hibajavításait. Ezeket kihasználva a támadók ToolShell-támadásokat hajtottak végre SharePoint-kiszolgálók ellen világszerte.

A Microsoft publikálta a Microsoft SharePoint Subscription Edition, SharePoint 2019 és a SharePoint 2016 rendszerekhez a CVE-2025-53770 és a CVE-2025-53771 sérülékenységeket javító biztonsági frissítéseket.

A Microsoft SharePoint üzemeltetőinek – verziótól függően – javasolt telepíteniük a következő biztonsági frissítéseket:

  • Microsoft SharePoint Server 2019 Core: KB5002754
  • Microsoft SharePoint Server 2019 Language Pack: KB5002753
  • Microsoft SharePoint Subscription Edition: KB5002768
  • Microsoft SharePoint Enterprise Server 2016: KB5002760
  • Microsoft SharePoint Enterprise Server 2016 Language Pack: KB5002759

A frissítések telepítése után a Microsoft azt javasolja a szakembereknek, hogy cseréljék le a SharePoint machine key-eket az alábbi két módszer egyikével:

Manuálisan a PowerShell használatával

Használjuk a következő parancsokat a frissítéséhez:

  1. Machine-key generálása:Set-SPMachineKey -WebApplication <SPWebApplicationPipeBind>
  2. Machine key telepítése:Update-SPMachineKey -WebApplication <SPWebApplicationPipeBind>

Manuálisan a Central Admin felület segítségével

  1. Nyissuk meg a Central Administration
  2. Lépjünk a Monitoring –> Review job definition menüpontra.
  3. Keressük meg a Machine Key Rotation Job folyamatot, és válasszuk a Run Now lehetőséget.
  4. A folyamat befejezése után indítsuk újra az IIS-t az összes SharePoint-kiszolgálón az iisreset[.]exe

Javasolt továbbá a naplók és a fájlrendszer elemzése arra vonatkozóan, hogy vannak‑e rosszindulatú fájlok vagy kísérletek a rendszer kihasználására.

Ez magában foglalja:

  • A C:\PROGRA~1\COMMON~1\MICROS~1\WEBSER~1\16\TEMPLATE\LAYOUTS\spinstall0[.]aspx fájl létrejöttét.
  • Az IIS-naplókban megjelenő POST-kérés(_layouts/15/ToolPane[.]aspx?DisplayMode=Edit&a=/ToolPane[.]aspx) és a hivatkozó HTTP referer értéke layouts/SignOut[.]aspx.
  • A Microsoft megosztotta az alábbi Microsoft 365 Defender lekérdezést annak ellenőrzésére, hogy létrejött‑e a spinstall0[.]aspx fájl a szerveren.

DeviceFileEvents
| where FolderPath has “MICROS~1\\WEBSER~1\\16\\TEMPLATE\\LAYOUTS”
| where FileName =~ “spinstall0[.]aspx”
or FileName has “spinstall0”
| project Timestamp, DeviceName, InitiatingProcessFileName, InitiatingProcessCommandLine, FileName, FolderPath, ReportId, ActionType, SHA256
| order by Timestamp desc

Amennyiben a fájl megtalálható, teljes körű vizsgálatot szükséges végezni az érintett szerveren és a hálózaton, hogy megbizonyosodjunk arról, a támadók nem terjesztették ki a hozzáférésüket más rendszerekre.

(forrás, forrás)