Microsoft SharePoint sunucularını “Araç Kazası” olarak adlandırılan sofistike bir istismar zinciri aracılığıyla hedefleyen kritik yeni bir tehdit.
Bu çok aşamalı saldırı, SharePoint Enterprise Server 2016, SharePoint Server 2019 ve SharePoint Server abonelik sürümünü etkileyen tam sistem uzlaşmasını elde etmek için daha önce yamalı güvenlik açıklarını taze sıfır gün istismarlarıyla birleştirir.
Key Takeaways
1. ToolShell exploits four SharePoint CVEs (two patched, two zero-days) for complete system control
2. Deploys advanced web shells for remote command execution and cryptographic key theft
3. Patch immediately and implement detection systems to block active attacks
Güvenlik Açığı Zinciri, SharePoint Altyapısını Hedefler
Araç kaşık kampanyası, uzaktan kod yürütme yeteneklerini oluşturmak için dört CVE’nin tehlikeli bir kombinasyonundan yararlanır.
Tehdit aktörleri, yeni keşfedilen iki sıfır günlük varyantın (CVE-2025-53770 ve CVE-2025-53771) yanında önceden yamalı iki güvenlik açıkından (CVE-2025-49704 ve CVE-2025-49706) yararlanıyor.
Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), bu CVES’i bilinen sömürülen güvenlik açıkları kataloğuna ekleyerek bu tehdidin şiddetini vurguladı.
İlk keşif, hedef sistemleri incelemek ve sistem bilgilerini çıkarmak için basit curl ve powershell komutları kullanan saldırganları içerir.
Saldırı genellikle “spinstall0.aspx” uç noktasının kullanımı ile başlar ve saldırganların yapılandırma verilerini uzak sunuculara yüklemesine izin verir.
Bu problama aşaması, tehdit aktörlerinin daha sofistike yükler kullanmadan önce hedef ortamları parmak izlemelerine olanak tanır.
Kampanya iki ana kötü niyetli bileşeni kullanıyor: Ghostwebshell ve Keysiphon. GhostWebshell, kalıcı uzaktan erişim için tasarlanmış son derece sofistike bir ASP.net web kabuğunu temsil eder.
“? CMD =” parametresini ortaya çıkaran ve saldırganların “cmd.exe /c
Web kabuğunda, önceden kompilatasyon kontrollerini atlamak için yansıma kullanarak dahili BuildManager bayraklarını geçici olarak manipüle ederek gelişmiş kaçırma teknikleri kullanır.
“/_Layouts/15/GhostFile gibi meşru SharePoint yolları altında bellekten kötü amaçlı sayfalar enjekte ederek, özel bir VirtualPathProvider’ı haritasız çalışma için kaydeder.
Komut yürütüldükten sonra, kabuk algılama ayak izlerini en aza indirmek için orijinal BuildManager bayraklarını geri yükler.
Keysiphon, kapsamlı sistem zekasını yakalayan bir keşif aracı olarak hizmet eder. Mantıksal sürücü yapılandırmaları, makine özellikleri, CPU çekirdek sayıları, sistem çalışma süresi ve işletim sistemi detayları gibi kritik bilgileri toplar.
En önemlisi, Keysiphon, “System.web” ad alanı aracılığıyla uygulama doğrulama ve şifre çözme anahtarlarını, özellikle kimlik doğrulama belirteç sahteciliği ve viewstate manipülasyonunu etkinleştiren kriptografik sırları ortaya çıkarmak için “MachineTeYsection.getApplicationConfig ()” i çağırıyor.
Kuruluşlar derhal mevcut yamaları uygulamalı ve ağ izleme, uç nokta koruması ve kapsamlı günlük analizini birleştiren katmanlı algılama stratejileri uygulamalıdır.
Bu güvenlik açıklarının hızlı silahlandırılması göz önüne alındığında, güvenlik ekipleri SharePoint altyapısı sertleşmesine öncelik vermeli ve potansiyel uzlaşma girişimlerini azaltmak için ek erişim kontrolleri uygulamayı düşünmelidir.
IOC
IP
157[.]245[.]126[.]186
159[.]203[.]88[.]182
146[.]190[.]224[.]250
203[.]160[.]80[.]77
203[.]160[.]86[.]111
205[.]198[.]84[.]197
159[.]89[.]10[.]213
165[.]232[.]162[.]99
185[.]169[.]0[.]111
146[.]70[.]41[.]178
165[.]154[.]196[.]91
File
10e01ce96889c7b4366cfa1e7d99759e4e2b6e5dfe378087d9e836b7278abfb6
7e3fff35ef909c556bdf6d9a63f0403718bf09fecf4e03037238176e86cf4e98
0548fad567c22ccf19031671f7ec1f53b735abf93dc11245bc9ea4dfd463fe40
3adbebbc2093615bb9210bfdb8ebb0841c62426bee8820f86ff0a64d15206041
Gerçek zamanlı sanal alan analizi ile daha hızlı, daha doğru kimlik avı tespiti ve işletmeniz için gelişmiş koruma deneyimi-> Herhangi birini deneyin. Şimdi