Microsoft heeft dringende beveiligingspatches uitgegeven voor twee nul-day kwetsbaarheden, CVE-2025-53770 en CVE-2025-53771, die van invloed zijn op Microsoft SharePoint. Deze gebreken zijn wereldwijd actief geëxploiteerd in “Toolshell” -aanvallen, met meer dan 54 organisaties.
De kwetsbaarheden kwamen naar voren nadat dreigingsacteurs fixes hebben omzeild die werden vrijgegeven in de Patch dinsdagupdates van juli. Deze eerste updates waren bedoeld om een “Toolshell” Zero-Day kwetsbaarheidsketen aan te pakken die de externe uitvoering van de externe code in Microsoft SharePoint mogelijk maakte, voor het eerst gedemonstreerd tijdens de PWN2own-wedstrijd in Berlijn in mei.
Microsoft heeft snel out-of-band beveiligingsupdates uitgebracht voor Microsoft SharePoint Abonnement Edition en SharePoint 2019 om CVE-2025-53770 en CVE-2025-53771 te verminderen. Het bedrijf bevestigde dat deze nieuwe updates “meer robuuste bescherming” bieden in vergelijking met de vorige fixes voor respectievelijk CVE-2025-49704 en CVE-2025-49706. Een update voor Microsoft SharePoint Enterprise Server 2016 is nog in behandeling.
SharePoint -beheerders worden ten zeerste geadviseerd om deze kritieke updates onmiddellijk te installeren: KB5002754 voor Microsoft SharePoint Server 2019 en KB5002768 voor Microsoft SharePoint Abonnement Edition.
Naast het toepassen van de patches, dringt Microsoft er bij beheerders op aan om hun SharePoint -machinetoetsen te roteren. Dit kan via PowerShell handmatig worden gedaan met behulp van de Update-SPMachineKey cmdlet of via centrale admin door de timer -taak “machine sleutel rotatie taak” te activeren. Na rotatie reset een IIS (iisreset.exe) Op alle SharePoint -servers wordt aanbevolen.
Beheerders moeten ook een grondige analyse van hun logboeken en bestandssystemen uitvoeren voor tekenen van compromis- of exploitatiepogingen. Belangrijkste indicatoren omvatten het maken van het bestand C:PROGRA~1COMMON~1MICROS~1WEBSER~116TEMPLATELAYOUTSspinstall0.aspxen IIS -logboeken die een postverzoek tonen _layouts/15/ToolPane.aspx?DisplayMode=Edit&a=/ToolPane.aspx met een HTTP -verwijzing van _layouts/SignOut.aspx.
Microsoft heeft een Microsoft 365 Defender -vraag gegeven om de aanwezigheid van de spinstall0.aspx bestand:
DeviceFileEvents
| where FolderPath has "MICROS~1\WEBSER~1\16\TEMPLATE\LAYOUTS"
| where FileName =~ "spinstall0.aspx"
or FileName has "spinstall0"
| project Timestamp, DeviceName, InitiatingProcessFileName, InitiatingProcessCommandLine, FileName, FolderPath, ReportId, ActionType, SHA256
| order by Timestamp desc
Als dit bestand wordt gevonden, is een uitgebreid onderzoek van de getroffen server en het netwerk cruciaal om ervoor te zorgen dat dreigingsactoren hun toegang tot andere apparaten niet hebben uitgebreid.
