Microsoft wydał pilne łatki bezpieczeństwa dla dwóch luk w zerowym dniu, CVE-2025-53770 i CVE-2025-53771, wpływając na Microsoft SharePoint. Te wady zostały aktywnie wykorzystane w atakach „Toolshell” na całym świecie, wpływając na ponad 54 organizacje.
Ochrona pojawiła się po tym, jak aktorzy zagrożenia ominąli poprawki opublikowane w lipcowych aktualizacjach we wtorek. Te początkowe aktualizacje miały na celu rozwiązanie łańcucha podatności na podatność „ToolShell”, który pozwolił na wykonanie zdalnego kodu w Microsoft SharePoint, po raz pierwszy wykazane na konkursie PWN2OWN w Berlinie w maju.
Microsoft szybko opublikował aktualizacje bezpieczeństwa poza pasmem dla edycji subskrypcji Microsoft SharePoint i SharePoint 2019, aby złagodzić CVE-2025-53770 i CVE-2025-53771. Firma potwierdziła, że te nowe aktualizacje oferują „bardziej solidne zabezpieczenia” w porównaniu z poprzednimi poprawkami odpowiednio dla CVE-2025-49704 i CVE-2025-49706. Aktualizacja Microsoft SharePoint Enterprise Server 2016 jest nadal w toku.
Administratorzy SharePoint powinni natychmiast zainstalować te krytyczne aktualizacje: KB5002754 dla Microsoft SharePoint Server 2019 i KB5002768 dla edycji subskrypcji Microsoft SharePoint.
Oprócz stosowania łat, Microsoft wzywa administratorów do obracania klawiszy maszyn SharePoint. Można to zrobić ręcznie za pośrednictwem PowerShell za pomocą Update-SPMachineKey CMDLET lub za pośrednictwem Central Admin przez wyzwalając zadanie timera „Obrót klucza maszyny”. Po obrotu resetowanie IIS (iisreset.exe) Na wszystkich serwerach SharePoint jest zalecane.
Administratorzy powinni również przeprowadzić dokładną analizę swoich dzienników i systemów plików pod kątem oznak kompromisów lub prób wykorzystywania. Kluczowe wskaźniki obejmują tworzenie pliku C:PROGRA~1COMMON~1MICROS~1WEBSER~116TEMPLATELAYOUTSspinstall0.aspxi dzienniki IIS pokazujące żądanie post _layouts/15/ToolPane.aspx?DisplayMode=Edit&a=/ToolPane.aspx z polecającym HTTP _layouts/SignOut.aspx.
Microsoft dostarczył zapytanie Microsoft 365 Defender, aby pomóc w wykryciu obecności spinstall0.aspx plik:
DeviceFileEvents
| where FolderPath has "MICROS~1\WEBSER~1\16\TEMPLATE\LAYOUTS"
| where FileName =~ "spinstall0.aspx"
or FileName has "spinstall0"
| project Timestamp, DeviceName, InitiatingProcessFileName, InitiatingProcessCommandLine, FileName, FolderPath, ReportId, ActionType, SHA256
| order by Timestamp desc
Jeśli ten plik zostanie znaleziony, kompleksowe badanie serwera dotkniętego serwera i sieci ma kluczowe znaczenie dla zapewnienia, że podmioty zagrożenia nie zwiększają ich dostępu do innych urządzeń.
