19 июля 2025 года компания Microsoft подтвердила активную эксплуатацию уязвимости нулевого дня CVE-2025-53770 в локальных серверах SharePoint. Эксплойт ToolShell позволяет злоумышленникам удалённо выполнять код без аутентификации, обходя ранее исправленные уязвимости CVE-2025-49704 и CVE-2025-49706. Атаки были зафиксированы с 17 июля и нацелены на крупные организации в таких секторах, как технологический консалтинг, производство и критически важная инфраструктура.  

⸻

Механизм атаки ToolShell

Эксплойт использует логическую ошибку на странице ToolPane SharePoint, позволяя злоумышленникам выполнять код через специально созданный POST-запрос. В ходе атак злоумышленники размещают веб-оболочки ASPX в каталоге SharePoint LAYOUTS, обеспечивая аутентификацию, выполнение команд и загрузку файлов через базовые HTML-интерфейсы. В некоторых случаях использовался хеш SHA512 для контроля доступа.  

⸻

География атак и затронутые организации

Атаки затронули серверы SharePoint по всему миру, включая Египет, Иорданию, Россию, Вьетнам и Замбию. Пострадали организации из различных отраслей, включая государственные и финансовые учреждения, сельское хозяйство, промышленность и лесоводство.  

⸻

Рекомендации по защите

Microsoft выпустила экстренные исправления для SharePoint Subscription Edition и 2019. Обновления для версии 2016 ожидаются. Компания настоятельно рекомендует клиентам немедленно установить эти обновления для защиты от уязвимости CVE-2025-53770.