Как защититься от ToolShell – цепочки критических zero-day в Microsoft SharePoint

Недавно Microsoft выпустили исправления для активно эксплуатируемых уязвимостей CVE-2025-53770 и CVE-2025-53771 в Microsoft SharePoint. По нашим оценкам, почти каждый пятый (18%) SharePoint-сервер в российском сегменте, может быть уязвим.

Цепочка уязвимостей CVE-2025-53770 и CVE-2025-53771 позволяет удаленно без аутентификации выполнять произвольный код. Это своего рода ProxyLogon 2.0, только для SharePoint!

В этом посте мы опишем интересные, на наш взгляд, особенности массовой эксплуатации этих уязвимостей и поделимся рекомендациями, как от них защититься.

Технические особенности

Уязвимости CVE-2025-53770 и CVE-2025-53771 представляют собой обход исправлений для других уязвимостей CVE-2025-49704 и CVE-2025-49706 соответственно, получивших название ToolShell. Эти уязвимости исправлены в обновлениях безопасности в июле 2025 года.

По информации от экспертов Eye security злоумышленники с 17 июля скомпрометировали более 80 публично доступных SharePoint серверов. Это как раз и напомнило нам о ProxyLogon, которая в начале также массово эксплуатировалась в марте 2021.

Изначально было известно только об одном пути расположения веб-шелла, позже появились подробности. Веб-шеллы располагали по следующим путям (отличаются каталогами 15 и 16):

    
C:\PROGRA~1\COMMON~1\MICROS~1\WEBSER~1\15\TEMPLATE\LAYOUTS\spinstall0.aspx
C:\PROGRA~1\COMMON~1\MICROS~1\WEBSER~1\16\TEMPLATE\LAYOUTS\spinstall0.aspx
    

Веб-шеллы примечательны тем, что вместо выполнения команд или обратных подключений похищали машинные ключи SharePoint.

Кроме того, злоумышленники создавали файл C:\Program Files\Common Files\microsoft shared\Web Server Extensions\16\TEMPLATE\LAYOUTS\debug_dev.js, в который записывалось содержимое web.config файлов, также содержащих машинные ключи.

С помощью этих ключей можно генерировать нагрузки и использовать их для удаленного выполнения кода с правами System без аутентификации через эксплуатацию уязвимости десериализации недоверенных VIEWSTATE-данных в IIS-серверах (те же SharePoint серверы). Такие атаки нелегко обнаружить, как и защититься.

Причем злоумышленники, получив ключи, могут провести атаки значительно позже, даже когда будет устранен веб-шелл. Поэтому обращаем отдельное внимание на то, что помимо устранения возможных веб-шеллов рекомендуется сменить машинные ключи SharePoint-серверов.

Мы подробно описывали как детектировать такие атаки и как правильно менять скомпрометированные машинные ключи IIS на примере Exchange-серверов в этом посте. Алгоритм смены актуален и для SharePoint-серверов, так как они также работают на веб-сервере IIS.

Как защититься

Сейчас доступны несколько PoC для CVE-2025-53770, поэтому интерес к эксплуатации этой уязвимости только подогревается. Настоятельно рекомендуем проверить имеется ли в вашем периметре SharePoint-серверы и в случае их наличия – незамедлительно применить рекомендации.

Рекомендации:

1. Убрать SharePoint-серверы из публичного доступа (например, за VPN);
2. Установить обновления:

   • Июльские (CVE-2025-49701, CVE-2025-49703, CVE-2025-49704, CVE-2025-49706):

     SharePoint Server 2016 (KB5002744);

     SharePoint Server 2019 (KB5002741);

   • Экстренные (CVE-2025-53770 и CVE-2025-53771):

     SharePoint Server 2016 (KB5002759, KB5002760 патчи выпустили вчера вечером, 21.07.2025);

     SharePoint Server 2019 (KB5002753, KB5002754);

     SharePoint Server Subscription Edition (KB5002768).

3. Заменить машинные ключи SharePoint и перезапустить IIS или сам сервер.

Как обнаружить эксплуатацию CVE-2025-53770?

Проверить:

• наличие файла spinstall0.aspx.

  В волнах атак он располагался по путям (отличаются каталогами 15 и 16):

  			
  C:\PROGRA~1\COMMON~1\MICROS~1\WEBSER~1\15\TEMPLATE\LAYOUTS\spinstall0.aspx
  C:\PROGRA~1\COMMON~1\MICROS~1\WEBSER~1\16\TEMPLATE\LAYOUTS\spinstall0.aspx
  			
  		

  С высокой долей вероятности будущие веб-шеллы будут располагаться в других местах и под другими именами, которые зависят от нагрузок для десериализации, поэтому необходимо также исследовать IIS-логи.

• наличие файла C:\Program Files\Common Files\microsoft shared\Web Server Extensions\16\TEMPLATE\LAYOUTS\debug_dev.js.
• логи IIS на наличие:
  • POST-запросов на /_layouts/15/ToolPane.aspx?DisplayMode=Edit c Referrer /_layouts/SignOut.aspx;
  • GET-запросов на /_layouts/15/spinstall0.aspx;
  • Других GET-запросов на подозрительные aspx-файлы.

Для детектирования атак/сканирования на IDS/WAF можно написать правило, блокирующее POST запросы на URI /_layouts/15/ToolPane.aspx?DisplayMode=Edit c заголовком Referrer /_layouts/SignOut.aspx

IOC (получены из открытых источников: источник 1, источник 2)

Источники атак

96.9.125[.]147
107.191.58[.]76
104.238.159[.]149
45.77.155[.]170
45.191.66[.]77
34.72.225[.]196
34.121.207[.]116
139.144.199[.]41
89.46.223[.]88
95.179.158[.]42
149.40.50[.]15
154.223.19[.]106
185.197.248[.]131
149.40.50[.]15
103.186.30[.]186

Строка User-Agent

Mozilla/5.0+(Windows+NT+10.0;+Win64;+x64;+rv:120.0)+Gecko/20100101+Firefox/120.0

Веб-шелл spinstall0.aspx

92bb4ddb98eeaf11fc15bb32e71d0a63256a0ed826a03ba293ce3a8bf057a514