Розкриття ToolShell: Неавтентифікований RCE-експлойт у SharePoint

Оновлено 2 серпня 2025 року: Microsoft та CISA оприлюднили розширені рекомендації, а компанії з кібербезпеки, такі як FireEye та CrowdStrike, випустили нові індикатори компрометації (IOC) та правила YARA для виявлення вторгнення ToolShell. Очікується, що виправлення для .NET буде випущене на наступний вівторок патчів.

Активна експлуатація на великій масштабі

Протягом останніх двох тижнів державні установи та приватні компанії зіткнулися з серйозною вразливістю на стороні сервера в локальних розгортаннях SharePoint, яку колективно назвали ToolShell. Вразливість, що дозволяє неавтентифіковане виконання віддаленого коду (RCE), зареєстрована під кодом CVE-2025-53770, піддається масовій експлуатації, з сотнями підтверджених компрометацій по всьому світу.

Що таке SharePoint?

SharePoint — це платформа для корпоративної співпраці та управління контентом, побудована на основі IIS та .NET від Microsoft. Вона використовується з 2001 року і надає бібліотеки документів, списки та веб-частини в рамках інтрамереж. Станом на 2024 рік Microsoft повідомила про понад 400 000 організацій-клієнтів — 80% з Fortune 500 — які використовують локальні екземпляри SharePoint. Архітектура сервера використовує ToolPane.aspx для відображення бокових панелей інтерфейсу, що стало вектором атаки в даному випадку.

Огляд вразливості: CVE-2025-53770

Основна проблема полягає у незахищеній десеріалізації в обробнику ToolPane.aspx. Неавтентифікований зловмисник може:

1. Завантажити шкідливий ASPX веб-оболонку (наприклад, spinstall0.aspx) через підготовлені POST запити.
2. Отримати MachineKey сервера (AES-CBC з HMAC-SHA256) за допомогою рефлексії та повернути розшифровані значення.
3. Згенерувати дійсні ViewState дані для обходу автентифікації та отримання адміністративних привілеїв, навіть під час використання MFA та SSO.

Вразливість була вперше виявлена 19 липня компанією Eye Security, і має оцінку CVSS v3.1 9.8. Телеметрія Microsoft підтверджує, що активна експлуатація почалася вже 7 липня, що робить її справжнім нульовим днем.

Хто стоїть за ToolShell?

• Linen Typhoon: Відомий крадіжкою IP, закріпився в SharePoint як плацдарм.
• Violet Typhoon: Традиційні шпигунські групи з інструментами на базі .NET.
• Storm-2603: Пов’язаний з операціями з програмами-вимагачами, новий профіль від Microsoft Threat Intelligence.

Інші приватні злочинні угрупування також можуть використовувати ті ж вектори; CISA попереджає про можливих наслідувачів, які розгортають налаштовані веб-оболонки.

Чому “ToolShell”?

Назва походить від концептуального доказу Pwn2Own Berlin, представленого дослідником Діном Хо Ань (Viettel Cyber Security). Експлуатація використовує ланцюг незахищеної десеріалізації ToolPane.aspx, вставляючи веб-оболонки в рендерер бокових панелей SharePoint. Перші виправлення Microsoft для CVE-2025-49704 та CVE-2025-49706 залишили залишкові кодові шляхи, що дозволили поточну масову RCE.

Глибокий аналіз: Механіка експлуатаційного ланцюга

Детальний аналіз компаній Akamai і SentinelOne виявляє:

• Крок 1: POST на /_layouts/15/ToolPane.aspx з payload у форматі multipart/form-data, що містить серіалізований об’єкт .NET.
• Крок 2: Незахищена десеріалізація ініціює рефлексію, викликаючи MachineKeySection для отримання ключів шифрування.
• Крок 3: Зловмисник надсилає GET запити для отримання конфігурації у відкритому тексті та створює дійсний ViewState MAC.
• Крок 4: Остаточний payload виконує веб-оболонки spinstallX.aspx, розгортаючи додаткові модулі Dropper та бекдори.

Розширене виявлення та індикатори компрометації (IOC)

Команди безпеки повинні шукати:

• Несподівані файли spinstall*.aspx під /_layouts/15/.
• POST запити з серіалізованими бінарними даними або даними з високою ентропією до ToolPane.aspx.
• Команди PowerShell або C# в журналах веб-оболонок, що намагаються отримати MachineKey.
• Нові адміністративні облікові записи, створені шляхом маніпуляції об’єктом SPUser.

CrowdStrike та FireEye опублікували правила YARA та підписи Sigma для автоматизації виявлення в SIEM, таких як Splunk та Azure Sentinel.

Стратегії пом’якшення та найкращі практики

1. Термінове виправлення: Застосуйте екстрене виправлення від Microsoft (KB5029381) та перевірте відсутність вразливих збірок за допомогою Get-FileHash.
2. Сегментація мережі: Ізолюйте сервери SharePoint від ненадійних мереж; впровадьте правила веб-додатків для блокування аномальних запитів ToolPane.
3. Посилення безпеки під час виконання: Увімкніть ViewStateUserKey, вимкніть виключення ViewState MAC та використовуйте бібліотеки Anti-Serialization (наприклад, Newtonsoft.Json з безпечними конвертерами).
4. Моніторинг та ведення журналів: Пересилайте журнали запитів IIS та ідентифікатори подій Windows (наприклад, 4688 створення процесів) до центрального SIEM з правилами кореляції для шаблонів ToolShell.
5. Періодичне тестування на проникнення: Симулюйте експлуатаційні ланцюги в стилі ToolShell у контрольованому середовищі, використовуючи модулі Cobalt Strike або Metasploit для перевірки захисту.

Перспективи та реакція галузі

Microsoft зобов’язалася провести глибший аудит коду API SharePoint та планує випустити оновлення .NET Framework 4.8.2 з посиленими захистами BinaryFormatter. Тим часом, термінова директива CISA 26-2 зобов’язує федеральні агентства США підтвердити розгортання патчів до 10 серпня 2025 року.

“Цей інцидент підкреслює важливість безпечного кодування в контексті десеріалізації,” зазначає доктор Емілі Чжан, провідний дослідник в SANS Institute. “Організації повинні сприймати атаки на десеріалізацію як критичний вектор загрози.”

Що робити, якщо ви підтримуєте локальний SharePoint

1. Переконайтеся, що всі сервери оновлені до KB5029381. 2. Проведіть повний форензічний аналіз, використовуючи IOC від Microsoft, CISA та третіх осіб. 3. Скидайте всі облікові дані сервісів та адміністраторів, змінюйте MachineKeys та впроваджуйте MFA для всіх облікових записів.

Для детальних інструкцій дивіться Термінову директиву 26-2 від CISA та посібник з реагування на ToolShell від Microsoft.