📅 2025. július 25-én a Kaspersky GReAT biztonsági kutatócsoportja közölte: a Microsoft SharePoint elleni ToolShell exploit az évek óta ismert, de hiányosan javított CVE-2020-1147 sérülékenységből ered.
🔍 Mi történt pontosan?
- CVE-2020-1147: A Microsoft 2020-ban részlegesen javította ezt a SharePoint hibát.
- 2025-ben a támadók olyan exploitokat kezdtek használni (ToolShell), amelyek megkerülték az eredeti fixet.
- A Microsoft először két új hibát azonosított: CVE-2025-49704 és CVE-2025-49706, ám ezek megkerülhetők voltak egy egyszerű / karakterrel az exploit végén.
- Csak az újonnan kiadott CVE-2025-53770 és CVE-2025-53771 javítások zárták le ténylegesen a támadási láncot.
🌍 Hol és kiket támadtak?
Országok:
- Egyiptom, Jordánia, Oroszország, Vietnam, Zambia
Ágazatok:
- Kormányzati, pénzügyi, ipari, mezőgazdasági, erdészeti rendszerek
A támadások gyorsan terjedtek globálisan, mielőtt a teljes javítás elérhetővé vált volna.
⚠️ ToolShell – az új „PrintNightmare”?
Kaspersky szerint:
„A ToolShell valószínűleg hosszú éveken át aktív lesz a támadási eszköztárakban, akárcsak a ProxyLogon vagy az EternalBlue.” – Boris Larin, Kaspersky GReAT
Az exploit olyan egyszerű és hatékony, hogy várhatóan hamar integrálják ismert penetrációs keretrendszerekbe (pl. Metasploit, Cobalt Strike).
🛡️ Védekezési javaslatok – mit tegyen egy rendszergazda?
🧩 1. Frissítsen azonnal
- Telepítse a CVE-2025-53770 és 53771 hibákat javító frissítéseket.
- Az érintett rendszer kizárólag az on-premises SharePoint, a Microsoft 365 felhőalapú SharePoint nem érintett.
🔐 2. Engedélyezze az AMSI-t
- Antimalware Scan Interface (AMSI) aktiválása SharePoint szerveren.
- AMSI képtelensége esetén: szigetelje el a szervert az internetről a javításig.
🛡️ 3. Microsoft Defender Antivirus
- Legyen telepítve és naprakészen futtatva minden SharePoint szerveren.
🧠 4. Használjon viselkedésalapú védelemmel rendelkező eszközöket
- Zero-day támadások elleni védelmet csak ilyen eszközök biztosítanak a javítás előtt is.
📌 Összefoglaló
| Tulajdonság | Érték |
|---|---|
| Érintett termék | Microsoft SharePoint (on-premises) |
| Nem érintett | Microsoft 365 SharePoint Online |
| Támadók célja | Kormányzati, ipari, pénzügyi rendszerek |
| Kulcshiba | Részlegesen javított 2020-as sebezhetőség |
| Fő veszély | ToolShell exploit hosszútávú fennmaradása |
| Kritikus javítás | CVE-2025-53770 és 53771 |
