A Microsoft SharePoint ToolShell sebezhetőségét (CVE-2025-53770) kihasználó támadások jelentős fenyegetést jelentenek kormányzati hivatalokra, egyetemekre, telekommunikációs szolgáltatókra és pénzügyi intézményekre világszerte. A biztonsági rés az on-premise SharePoint szervereket érinti, és 2025. július 20-án vált ismertté, amikor több Kínához köthető hackercsoport aktívan kihasználta azt.
A ToolShell sebezhetőség felfedezése és jellemzői
A CVE-2025-53770-es azonosítóval ellátott biztonsági hiba egy zero-day sérülékenység, amely lehetővé teszi a támadók számára, hogy hitelesítés nélkül távolról kódot futtassanak és teljes hozzáférést szerezzenek a fájlrendszerhez. Ez a hiba egyébként két korábbi sérülékenység – a CVE-2025-49706 és a CVE-2025-49704 – megkerülésére szolgál, amelyeket a Viettel Cyber Security kutatói mutattak be még májusban a Pwn2Own Berlin versenyen.
A Microsoft sürgősségi frissítéseket adott ki 2025. július 21-én, egy nappal a nyilvánosságra hozás után, hogy megakadályozza a további támadásokat.
Kínai fenyegető csoportok és támadási kampányok
A Microsoft korábbi közlése szerint három kínai fenyegető csoport használta ki a ToolShell sebezhetőséget:
- Budworm / Linen Typhoon
- Sheathminer / Violet Typhoon
- Storm-2603 / Warlock ransomware
A Broadcomhoz tartozó Symantec legfrissebb jelentése szerint azonban ennél jóval szélesebb körben használták ki ezt a hibát különböző régiókban, többek között a Közel-Keleten, Dél-Amerikában, az Egyesült Államokban és Afrikában.
Célpontok és érintett szervezetek
A Symantec által feltárt kampányok célpontjai között szerepelnek:
- Egy telekommunikációs szolgáltató a Közel-Keleten
- Két kormányzati minisztérium egy afrikai országban
- Két kormányzati ügynökség Dél-Amerikában
- Egy amerikai egyetem
- Egy afrikai állami technológiai ügynökség
- Egy közel-keleti kormányzati osztály
- Egy európai pénzügyi vállalat
A támadási folyamat részletes leírása
A Symantec jelentése alapján a támadás fő fókusza egy közel-keleti telekommunikációs cég volt. A támadás 2025. július 21-én kezdődött, amikor a CVE-2025-53770 sebezhetőséget kihasználva webshell-eket helyeztek el a rendszerben, amelyek tartós hozzáférést biztosítottak a támadóknak.
Ezt követően DLL side-loading technikával betöltöttek egy Go nyelven írt hátsó ajtót (backdoor) Zingdoor néven, amely képes volt rendszerinformációk gyűjtésére, fájlműveletek végrehajtására és távoli parancsvégrehajtásra.
A kutatók szerint ezt követően egy újabb DLL side-loading lépés indult el, amely valószínűleg a ShadowPad trójait töltötte be. Ezt követően pedig egy Rust nyelven írt KrustyLoader eszköz került telepítésre, amely végül aktiválta a Sliver nyílt forráskódú post-exploitation keretrendszert.
Legitim programokkal végzett álcázás
Kiemelendő, hogy az említett DLL side-loading lépések során valódi Trend Micro és BitDefender végrehajtható fájlokat használtak fel az álcázáshoz. Dél-Amerikai támadások esetén pedig olyan fájlokat alkalmaztak, amelyek megtévesztésig hasonlítottak a Symantec nevére.
További támadási technikák és eszközök
A támadók ezután credential dumping technikákat alkalmaztak ProcDump, Minidump és LsassDumper eszközökkel, majd kihasználták a PetitPotam (CVE-2021-36942) sérülékenységet is a domain kompromittálására.
A nyilvánosan elérhető „living-off-the-land” eszközök közül használták továbbá:
- Certutil – Microsoft által biztosított segédprogram adatletöltéshez és titkosításhoz
- GoGo Scanner – red-team szkenner motor hálózati felderítéshez
- Revsocks – adatlopásra, parancsküldésre és kitartásra alkalmas eszköz kompromittált gépeken
A ToolShell sebezhetőség kihasználásának szélesebb körű hatása
A Symantec elemzése rámutat arra is, hogy az eddig ismertnél jóval több kínai fenyegető csoport használta ki ezt a sebezhetőséget. Az érintett környezetek 46%-ában sikerült jelszavakat feltörni, ami majdnem megduplázódott az előző évi 25%-hoz képest.
Megelőzés és védekezés ajánlások
A Microsoft által kiadott sürgősségi frissítések telepítése elengedhetetlen minden on-premise SharePoint szervert használó szervezet számára. Emellett ajánlott:
- Szigorú hozzáférés-kezelési szabályzatok bevezetése
- Rendszeres jelszóváltások és erős hitelesítési módszerek alkalmazása
- Folyamatos hálózatfigyelés és anomáliaészlelés bevezetése
- Living-off-the-land eszközök használatának monitorozása és korlátozása
- Kiberbiztonsági tudatosság növelése az alkalmazottak körében
További információk és részletes elemzés: Picus Blue Report 2025
A Picus Blue Report 2025 átfogó betekintést nyújt az aktuális megelőzési stratégiákba, detektálási módszerekbe és az adatlopási trendekbe. A jelentés letölthető azok számára, akik mélyebb szakmai ismereteket szeretnének szerezni ezen fenyegetések kezeléséről.
További részletekért keresse fel a Picus Blue Report hivatalos oldalát!