В современном мире цифровых технологий безопасность информационных систем становится приоритетом для компаний и государственных учреждений. Одним из широко используемых решений для совместной работы и управления внутренними документами является Microsoft SharePoint. Однако в июле 2025 года была обнаружена критическая уязвимость, получившая наименование ToolShell, которая подверглась массовому и активному использованию злоумышленниками. Эта масштабная угроза вскрыла серьезные проблемы в защите многих организаций, подчеркивая необходимость внимательного и своевременного реагирования на подобные инциденты. SharePoint – это серверное программное обеспечение, предназначенное для хранения, управления и совместного использования внутренних документов организации.
С момента своего появления в 2001 году, SharePoint получил огромную популярность и к 2020 году использовался более чем 200 миллионами пользователей по всему миру. На сегодняшний день более 400 тысяч организаций, включая около 80% компаний из списка Fortune 500, используют SharePoint во внутренних инфраструктурах. Именно масштабность этой платформы делает её привлекательной целью для злоумышленников. Уязвимость, известная как CVE-2025-53770, позволила автору эксплойта, получившему название ToolShell, выполнять удаленный код на сервере без необходимости авторизации. Такая возможность автоматически повышает риск серьезных инцидентов информационной безопасности, начиная от нарушений конфиденциальности до полного контроля над внутренними ресурсами, а также распространения вредоносного ПО.
Первая информация об активной эксплуатации этой киберугрозы появилась в начале июля 2025 года благодаря исследователям из компании Eye Security. Вскоре было зафиксировано несколько волн атаки, в ходе которых десятки, а затем уже несколько сотен серверов SharePoint во всем мире оказались скомпрометированы. Среди пострадавших клиентов оказались не только приватные компании, но и правительственные учреждения, включая Национальную администрацию по ядерной безопасности США. Отличительной особенностью атак, основанных на ToolShell, является то, что они не требуют наличия учетных данных или прав администратора. Это означает, что любая машина с уязвимой версией SharePoint внутри корпоративной сети подвержена риску немедленного компрометации.
Такая простота использования данной уязвимости вызывает особое беспокойство среди ИТ-специалистов и руководителей служб безопасности. Исследователи провели анализ атрибутов атакующих групп, которые активно используют ToolShell. Microsoft выделяет три ключевых хакерских инфраструктуры, связанных с китайским государством: Linen Typhoon, Violet Typhoon и новую группу под названием Storm-2603. Первая и вторая специализируются на промышленном шпионаже и сборе интеллектуальной собственности, что подчеркивает стратегический характер атак. В то же время Storm-2603 известна в основном своими связями с программами вымогателей, что добавляет иной вектор угрозы — потенциально финансовый или деструктивный.
Название «ToolShell» связано с компонентом ToolPane.aspx, который является частью пользовательского интерфейса SharePoint. Автору эксплойта, исследователю Динь Хо Ану из Viettel Cyber Security, удалось обойти процедуры аутентификации, использовав уязвимость в механизме десериализации данных. Данные процессы отвечают за преобразование сложных структур и объектов в форматы, удобные для передачи или хранения, и обратно. Microsoft еще до массового распространения ToolShell выпустила обновления безопасности, закрывающие две идентифицированные уязвимости CVE-2025-49706 и CVE-2025-49704.
Однако в опубликованных патчах оказались недочёты, которые позволили злоумышленникам продолжать атаковать SharePoint-серверы и использовать новые варианты эксплойтов. Технически атаки начинаются с отправки POST-запросов на точку входа ToolPane, куда загружается вредоносный скрипт spinstall0.aspx либо с иными последовательностями имени. Этот скрипт предоставляет злоумышленникам доступ к конфигурационным данным сервера, включая зашифрованные MachineKey, которые позволяют расшифровывать коммуникации SharePoint и получать учетные данные. Получив токены и пароли, нападающие могут повысить свои привилегии, обходя многофакторную аутентификацию и системы единого входа (SSO).
Вследствие этого становится возможным не только кража конфиденциальной информации, но и установка дополнительных обратных дверей, обеспечивающих длительный и скрытый доступ к корпоративной сети. Комплексные атаки позволяют злоумышленникам оставаться незамеченными месяцами, создавая серьезные трудности для обнаружения и устранения угрозы. Для администраторов SharePoint-серверов ситуация крайне критична. Первоочередной задачей должна стать проверка наличия последних патчей безопасности и их оперативное применение, если они ещё не внедрены. Тем не менее, одних обновлений недостаточно, поскольку заражённые системы могут не показывать явных признаков компрометации.
Мониторинг системных журналов, тщательный аудит событий и применение индикаторов компрометации (IOC), рекомендованных ведущими кибербезопасными компаниями и государственными агентствами, являются необходимыми мерами для выявления следов проникновения. Важно использовать современные средства обнаружения и реагирования, включая поведенческий анализ трафика и эвристические методы. Кроме того, специалисты по безопасности рекомендуют ужесточить конфигурации SharePoint, ограничить доступ к административным функциям и повысить уровень контроля над активностями внутри сети. Для предотвращения распространения вредоносного ПО стоит использовать комплексные решения защиты, сочетающие антивирусные технологии с системами предотвращения вторжений (IPS) и системой управления событиями безопасности (SIEM). Особое внимание необходимо уделять информированию сотрудников и развитию культуры кибергигиены внутри организаций.
Большинство успешных атак всё же опираются на человеческий фактор, поэтому обучение и регулярные тренировки по безопасности данных играют ключевую роль в снижении рисков. ToolShell продемонстрировал, насколько уязвимой может оказаться, казалось бы, защищённая инфраструктура даже при использовании известных и широко проверенных продуктов. Этот случай служит напоминанием всем организациям, что постоянное обновление средств защиты и оперативный отклик на угрозы являются залогом безопасности. Наконец, обеспечение безопасности информационных систем – это не одноразовая задача, а непрерывный процесс, который требует высокой квалификации, ресурсов и готовности к быстрым действиям. Только так можно минимизировать последствия эксплуатации уязвимостей и сохранить доверие клиентов, партнеров и пользователей.
В итоге ToolShell – это вызов современным реалиям кибербезопасности, демонстрирующий, что даже наиболее авторитетные и проверенные платформы нуждаются в постоянном внимании и поддержке специалистов, чтобы противостоять растущим и усложняющимся угрозам.
