Kritická zranitelnost v produktu SharePoint

Upozornění na kritickou zranitelnost typu RCE (remote code execution) – CVE-2025-53770, která umožňuje neautentizovaný vzdálený přístup a spuštění kódu, což může vést k úplnému převzetí kontroly nad serverem. Zranitelné verze jsou pouze on-premise verze a to konkrétně SharePoint Server 2016, 2019 a Subscription Edition. SharePoint Online (Microsoft 365) není touto zranitelností ohrožen.

O zranitelnosti
Zranitelnost, veřejně označovaná jako "ToolShell", je variantou dříve známé CVE-2025-49706 a ohrožuje organizace tím, že útočníkům poskytuje plný přístup k obsahu SharePointu včetně souborových systémů, interních konfigurací a možnosti spouštět kód přes síť.

Exploitace probíhá prostřednictvím HTTP požadavků na specifické SharePoint endpointy, zejména ToolPane.aspx.

Doporučená opatření
Je doporučené bezprostředně nainstalovat bezpečností aktualizace Sharepointu, aktivování rozhraní Antimalware Scan Interface (AMSI) a nasazení  EDR/XDR na všech serverech SharePoint. Dále je doporučeno sledovat specifické HTTP požadavky, provádět skenování podezřelých IP adres, aktualizovat pravidla IDS/IPS a firewallů, zavést komplexní logování a sledovat aktuální platná doporučení.

1. Instalace bezpečnostních aktualizací
Pro verzi SharePoint Server 2019 je dostupná oprava KB5002754
Pro verzi Subscription Edition je dostupná oprava KB5002768
Pro verzi SharePoint Server 2016 zatím není dostupná oprava – sledujte MSRC blog pro aktuální informace.

2. Aktivujte AMSI (Antimalware Scan Interface)

• AMSI pomáhá detekovat škodlivé skripty a chování v reálném čase.
• Pokud AMSI nelze aktivovat a server je veřejně přístupný z internetu, měl by být dočasně odpojen ze sítě, dokud nebudou dostupná oficiální mitigace. Jakmile budou k dispozici, je nutné je okamžitě aplikovat podle pokynů Microsoftu a CISA.
• Pokud AMSI nelze aktivovat, je také nutné po instalaci bezpečnostní aktualizace rotovat ASP.NET machine keys, aby se zabránilo přetrvávajícímu přístupu útočníka.
• AMSI je ve výchozím stavu aktivní od instalace zářijové bezpečnostní aktualizace z roku 2023 pro SharePoint Server 2016 a 2019 a ve verzi 23H2 pro SharePoint Server Subscription Edition
• MSI může být aktivní, ale nefunkční, pokud SharePoint nedostává odpověď od antimalwarového enginu. V takovém případě není ochrana účinná, i když je technicky zapnutá.
• Funkčnost lze ověřit: v Central Administration, nebo pomocí diagnostických logů, kde se může objevit hlášení: "SharePoint didn't receive the expected response from the antimalware scan engine when verifying that this protection is working.”

Podrobnosti a návod k ověření najdete v oficiální dokumentaci:

• AMSI protection may not be working – Microsoft Learn
• Configure AMSI integration with SharePoint Server – Microsoft Learn

3. Výměna ASP.NET machine keys
Útočníci mohou po úspěšné kompromitaci SharePoint Serveru získat přístup k ASP.NET machine keys, které slouží k šifrování a ověřování dat v rámci aplikace. Pak mohou být klíče zneužity k perzistentnímu přístupu do systému, i po odstranění původního vektoru útoku. Z tohoto důvodu je nezbytné tyto klíče okamžitě vyměnit a zneplatnit.

Rotaci lze provést dvěma způsoby:

1. Pomocí PowerShellu: spusťte příkaz Update-SPMachineKey. Před spuštěním příkazu se ujistěte, že máte dostatečná oprávnění a že běží Central Administration.
2. Přes Central Administration: přejděte na Monitoring → Review job definitions, najděte úlohu Machine Key Rotation Job a spusťte ji pomocí Run Now. Po dokončení rotace je nutné restartovat IIS na všech SharePoint serverech příkazem iisreset.exe.

4. Nasazení EDR/XDR řešení
Microsoft doporučuje nasazení Microsoft Defender for Endpoint, který umožňuje:

• Detekci post-exploit aktivity
• Monitorování vytvoření škodlivého souboru spinstall0.aspx
• Analýzu síťového provozu a procesů spojených s útokem

Microsoft poskytl i konkrétní KQL dotaz pro Microsoft 365 Defender, který umožňuje detekovat vytvoření souboru spinstall0.aspx:

DeviceFileEvents
| where FolderPath has_any (@'microsoft shared\Web Server Extensions\16\TEMPLATE\LAYOUTS', @'microsoft shared\Web Server Extensions\15\TEMPLATE\LAYOUTS')
| where FileName has "spinstall0"
| project Timestamp, DeviceName, InitiatingProcessFileName, InitiatingProcessCommandLine, FileName, FolderPath, ReportId, ActionType, SHA256
| order by Timestamp desc

Microsoft doporučuje sledovat případy, kdy proces w3wp.exe (IIS/SharePoint) spouští zakódovaný PowerShell, který obsahuje odkazy na soubor spinstall0.aspx nebo známé cesty, kam bývá tento web shell uložen. Tento dotaz umožňuje:

• Detekovat pokusy o spuštění zakódovaného PowerShellu z IIS procesu
• Rozkódovat Base64 příkazy a hledat známé indikátory kompromitace

DeviceProcessEvents
| where InitiatingProcessFileName has "w3wp.exe" and InitiatingProcessCommandLine !has "DefaultAppPool" and FileName =~ "cmd.exe" and ProcessCommandLine has_all ("cmd.exe", "powershell") and ProcessCommandLine has_any ("EncodedCommand", "-ec")
| extend CommandArguments = split(ProcessCommandLine, " ")
| mv-expand CommandArguments to typeof(string)
| where CommandArguments matches regex "^[A-Za-z0-9+/=]{15,}$"
| extend B64Decode = replace("\\x00", "", base64_decodestring(tostring(CommandArguments)))
|where B64Decode has_any ("spinstall0", @'C:\PROGRA~1\COMMON~1\MICROS~1\WEBSER~1\15\TEMPLATE\
LAYOUTS', @'C:\PROGRA~1\COMMON~1\MICROS~1\WEBSER~1\16\TEMPLATE\
LAYOUTS')

Jiné EDR/XDR
Pokud není možné nasadit Microsoft Defender for Endpoint, je možné využít jiné EDR/XDR nástroje. Klíčové je, aby tato řešení podporovala:

• Detekci specifických HTTP požadavků v IIS logu, které jsou spojeny s exploitací zranitelnosti CVE-2025-53770. Mezi klíčové vzory patří:
• Monitorování požadavků POST /_layouts/15/ToolPane.aspx?DisplayMode=Edit&a=/ToolPane.aspx
• s refererem: /_layouts/SignOut.aspx
• případně integraci s AMSI (Antimalware Scan Interface) – umožňuje detekci škodlivého kódu v reálném čase přímo při zpracování požadavků v SharePointu.

Indikátory kompromitace (IOCs)
Doporučuje se sledovat tyto indikátory kompromitace a nastavit automatická pravidla pro detekci v systémech SIEM.

Soubory a jejich hashe
Přítomnost tohoto souboru znamená kompromitovaný systém.

• C:\Program Files\Common Files\Microsoft Shared\Web Server Extensions\16\TEMPLATE\LAYOUTS\spinstall0.aspx

SHA256: 92bb4ddb98eeaf11fc15bb32e71d0a63256a0ed826a03ba293ce3a8bf057a514
SHA256: 4a02a72aedc3356d8cb38f01f0e0b9f26ddc5ccb7c0f04a561337cf24aa84030
SHA256: b39c14becb62aeb55df7fd55c814afbb0d659687d947d917512fe67973100b70
SHA256: fa3a74a6c015c801f5341c02be2cbdfb301c6ed60633d49fc0bc723617741af7

Hash hodnoty se mohou lišit v závislosti na úpravách útočníka – doporučujeme detekci založenou i na názvech souborů a cestách.

Síťové indikátory:

• IP adresy - zejména od 17. července 2025
• 107.191.58[.]76
• 104.238.159[.]149
• 96.9.125[.]147
• 103.186.30[.]186

HTTP požadavky v IIS logu:

• POST /_layouts/15/ToolPane.aspx?DisplayMode=Edit&a=/ToolPane.aspx
  s refererem: /_layouts/SignOut.aspx

Obecně je možné detekovat přístup k /_layouts/ z veřejné sítě.

User Agenti

• Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:120.0) Gecko/20100101 Firefox/120.0
• Mozilla/5.0+(Windows+NT+10.0;+Win64;+x64;+rv:120.0)+Gecko/20100101+
  Firefox/120.0 - URL kódování, použití pro hledání v lozích IIS

Pozn. hledání těchto useragentů se hodí pro doplňkovou detekci, může způsobovat mnoho falešně pozitivních detekcí.

V případě kompromitace

1. Ihned izolujte kompromitované SharePoint servery. Pouhé blokování přístupu na úrovni firewallu je nedostatečné, jelikož útočník už může mít na serveru perzistenci.
2. Proveďte hloubkovou forenzní analýzu pro zjištění potenciálního laterálního pohybu nebo exfiltrace dat v síti. Sledujte nejčastější taktitky Privilege escalation (např. přes zranitelnosti v systému), Credential dumping (např. pomocí Mimikatz), Laterální pohyb v síti (např. přes SMB nebo RDP).
3. Doporučujeme provést změnu přihlašovacích údajů a monitorovat EDR/XDR. Zvažte reset hesel nejen pro administrátory, ale i pro servisní účty a účty s přístupem k citlivým datům. Proveďte audit všech uživatelských účtů a ty nepoužívané smažte.
4. Pokud se systém rozhodnete obnovit, doporučujeme jej obnovit ze zálohy, pokud máte jistotu, že záloha nebyla rovněž kompromitována.
5. Pokud není možné obnovit ze zálohy, doporučujeme systém reinstalovat a následně postupovat podle výše uvedených doporučení, jako je instalace bezpečnostních aktualizací, výměna ASP.NET klíčů a další kroky uvedené v části Doporučená opatření.
6. V případě systému, který spadá pod regulaci zákona o kybernetické bezpečnosti nezapomeňte incident nahlásit na e-mailovou adresu: cert.incident@nukib.gov.cz

Zdroj: portal.nukib.gov.cz