A Microsoft SharePoint biztonsági frissítéseket adott ki a CVE-2025-53770 és a CVE-2025-53771 azonosítójú két nulladik napi sebezhetőséghez, amelyek világszerte veszélyeztettek rendszereket a “ToolShell” támadások során.
Májusban a berlini Pwn2Own hackerverseny során a kutatók kihasználták a “ToolShell” nevű nulladik napi sebezhetőségi láncot, amely lehetővé tette a távoli kódfuttatást a Microsoft SharePointban. Ezeket a hibákat a júliusi Patch Tuesday frissítések részeként javították. A fenyegetési szereplők azonban két nulladik napi sebezhetőséget fedeztek fel, amelyek megkerülték a Microsoft korábbi hibajavításait. Ezeket kihasználva a támadók ToolShell-támadásokat hajtottak végre SharePoint-kiszolgálók ellen világszerte.
A Microsoft publikálta a Microsoft SharePoint Subscription Edition, SharePoint 2019 és a SharePoint 2016 rendszerekhez a CVE-2025-53770 és a CVE-2025-53771 sérülékenységeket javító biztonsági frissítéseket.
A Microsoft SharePoint üzemeltetőinek – verziótól függően – javasolt telepíteniük a következő biztonsági frissítéseket:
- Microsoft SharePoint Server 2019 Core: KB5002754
- Microsoft SharePoint Server 2019 Language Pack: KB5002753
- Microsoft SharePoint Subscription Edition: KB5002768
- Microsoft SharePoint Enterprise Server 2016: KB5002760
- Microsoft SharePoint Enterprise Server 2016 Language Pack: KB5002759
A frissítések telepítése után a Microsoft azt javasolja a szakembereknek, hogy cseréljék le a SharePoint machine key-eket az alábbi két módszer egyikével:
Manuálisan a PowerShell használatával
Használjuk a következő parancsokat a frissítéséhez:
- Machine-key generálása:Set-SPMachineKey -WebApplication <SPWebApplicationPipeBind>
- Machine key telepítése:Update-SPMachineKey -WebApplication <SPWebApplicationPipeBind>
Manuálisan a Central Admin felület segítségével
- Nyissuk meg a Central Administration
- Lépjünk a Monitoring –> Review job definition menüpontra.
- Keressük meg a Machine Key Rotation Job folyamatot, és válasszuk a Run Now lehetőséget.
- A folyamat befejezése után indítsuk újra az IIS-t az összes SharePoint-kiszolgálón az iisreset[.]exe
Javasolt továbbá a naplók és a fájlrendszer elemzése arra vonatkozóan, hogy vannak‑e rosszindulatú fájlok vagy kísérletek a rendszer kihasználására.
Ez magában foglalja:
- A C:\PROGRA~1\COMMON~1\MICROS~1\WEBSER~1\16\TEMPLATE\LAYOUTS\spinstall0[.]aspx fájl létrejöttét.
- Az IIS-naplókban megjelenő POST-kérés(_layouts/15/ToolPane[.]aspx?DisplayMode=Edit&a=/ToolPane[.]aspx) és a hivatkozó HTTP referer értéke layouts/SignOut[.]aspx.
- A Microsoft megosztotta az alábbi Microsoft 365 Defender lekérdezést annak ellenőrzésére, hogy létrejött‑e a spinstall0[.]aspx fájl a szerveren.
DeviceFileEvents
| where FolderPath has “MICROS~1\\WEBSER~1\\16\\TEMPLATE\\LAYOUTS”
| where FileName =~ “spinstall0[.]aspx”
or FileName has “spinstall0”
| project Timestamp, DeviceName, InitiatingProcessFileName, InitiatingProcessCommandLine, FileName, FolderPath, ReportId, ActionType, SHA256
| order by Timestamp desc
Amennyiben a fájl megtalálható, teljes körű vizsgálatot szükséges végezni az érintett szerveren és a hálózaton, hogy megbizonyosodjunk arról, a támadók nem terjesztették ki a hozzáférésüket más rendszerekre.
