Το Ομοσπονδιακό Γραφείο Ερευνών δήλωσε στις 20 Ιουλίου ότι γνωρίζει τις επιθέσεις και συνεργάζεται στενά με τους ομοσπονδιακούς και ιδιωτικούς εταίρους του, αλλά δεν έδωσε άλλες λεπτομέρειες.
Σε μια ειδοποίηση που εκδόθηκε στις 19 Ιουλίου, η Microsoft δήλωσε ότι τα τρωτά σημεία ισχύουν μόνο για διακομιστές SharePoint που χρησιμοποιούνται εντός οργανισμών. Ανέφερε ότι το SharePoint Online στο Microsoft 365, το οποίο βρίσκεται στο cloud, δεν επλήγη από τις επιθέσεις.
Η ευπάθεια, με την ονομασία CVE-2025-53770 και την κωδική ονομασία “ToolShell”, επηρεάζει τις on-premises εκδόσεις του SharePoint Server 2016, 2019 και τη Subscription Edition. Το πρόβλημα προκύπτει από μη ασφαλή αποσειριοποίηση (insecure deserialization), που επιτρέπει απομακρυσμένη εκτέλεση κώδικα χωρίς ταυτοποίηση, δίνοντας στους επιτιθέμενους τη δυνατότητα να αποκτούν έλεγχο στους διακομιστές χωρίς διαπιστευτήρια.
Η Microsoft επιβεβαίωσε την ενεργή εκμετάλλευση της ευπάθειας στις 19 Ιουλίου και εξέδωσε προσωρινές οδηγίες, ενώ εργάζεται για την κυκλοφορία μόνιμης επιδιόρθωσης.
Η εφημερίδα Washington Post, η οποία ανέφερε πρώτη τις παραβιάσεις, ανέφερε ότι άγνωστοι δράστες τις τελευταίες ημέρες εκμεταλλεύτηκαν ένα ελάττωμα για να εξαπολύσουν μια επίθεση που στόχευε αμερικανικούς και διεθνείς οργανισμούς και επιχειρήσεις.
Η ευπάθεια χρησιμοποιείται σε συντονισμένη καμπάνια που εντοπίστηκε για πρώτη φορά από την εταιρεία ασφαλείας Eye Security B.V. στις 18 Ιουλίου. Σύμφωνα με τους ερευνητές, οι επιτιθέμενοι εκμεταλλεύονται την ευπάθεια για να αναπτύξουν ένα κακόβουλο ASPX αρχείο με το όνομα “spinstall0.aspx”, το οποίο εξάγει τα κρυπτογραφικά machine keys που χρησιμοποιεί το SharePoint. Αφού αποκτήσουν αυτά τα κλειδιά, οι επιτιθέμενοι μπορούν να δημιουργούν έγκυρα ViewState tokens και να διατηρούν πρόσβαση ακόμα και μετά την εγκατάσταση ενημερώσεων ασφαλείας.
Η Eye Security εκτιμά ότι τουλάχιστον 75 με 85 διακομιστές έχουν ήδη παραβιαστεί, με θύματα να περιλαμβάνουν κυβερνητικές υπηρεσίες, τηλεπικοινωνιακές εταιρείες, χρηματοπιστωτικά ιδρύματα, πανεπιστήμια και παρόχους ενέργειας.
Μια επίθεση που στοχεύει αυτή την ευπάθεια ξεκινά με ένα ειδικά διαμορφωμένο POST request προς το endpoint ToolPane.aspx του SharePoint, το οποίο περιλαμβάνει μια πλαστή Referer header που δείχνει στη σελίδα SignOut.aspx. Το αίτημα ενεργοποιεί την αποστολή και εκτέλεση του κακόβουλου spinstall0.aspx, που δίνει πρόσβαση στα ValidationKey και DecryptionKey του διακομιστή.
Μόλις οι επιτιθέμενοι αποκτήσουν τα κλειδιά, μπορούν να παρακάμψουν τα συνηθισμένα μέτρα ασφαλείας και να εκτελούν εντολές απομακρυσμένα ως έμπιστοι χρήστες.
Αφού δεν υπάρχει επίσημο patch προς το παρόν, η Microsoft συνιστά στους διαχειριστές να ενεργοποιήσουν την ενσωμάτωση AMSI (Antimalware Scan Interface) και να εγκαταστήσουν τα Microsoft Defender Antivirus και Defender for Endpoint, ώστε να εντοπίζουν και να μπλοκάρουν γνωστούς δείκτες παραβίασης. Η ενσωμάτωση AMSI επιτρέπει στο SharePoint να συνεργάζεται με antivirus λύσεις για τον εντοπισμό και την αποτροπή κακόβουλων scripts και payloads σε πραγματικό χρόνο.
Η Υπηρεσία Κυβερνοασφάλειας και Υποδομών των ΗΠΑ (CISA) εξέδωσε επίσης οδηγίες σχετικά με την ευπάθεια, επισημαίνοντας ότι αν δεν μπορεί να ενεργοποιηθεί το AMSI, οι χρήστες του SharePoint που έχουν δημόσια προσβάσιμους διακομιστές στο διαδίκτυο θα πρέπει να τους αποσυνδέσουν προσωρινά έως ότου υπάρξει επίσημη επιδιόρθωση.
Οι αναλυτές προειδοποιούν επίσης ότι μόνη η μετρίαση δεν αρκεί αν ο διακομιστής έχει ήδη παραβιαστεί, καθώς οι επιτιθέμενοι που έχουν αποκτήσει τα machine keys μπορούν να διατηρήσουν πρόσβαση. Για πλήρη αποκατάσταση απαιτείται αλλαγή κλειδιών (key rotation), αναζήτηση απειλών (threat hunting) και αφαίρεση οποιωνδήποτε κακόβουλων web shells.
