Zraniteľnosť v Microsoft SharePoint sa ukázala byť jednou z najnebezpečnejších hrozieb posledných mesiacov, s dopadom na desiatky organizácií po celom svete. Začiatkom júla 2025 boli odhalené dve kritické zero-day zraniteľnosti – CVE-2025-53770 a CVE-2025-53771 – ktoré umožnili útočníkom kompromitovať desiatky organizácií ešte pred vydaním opráv. Útok prebiehal ticho, efektívne a bez potreby akéhokoľvek zásahu používateľa. Ak spravuješ SharePoint server, tento článok by mal byť tvoj povinný čítaním.
Čo sa stalo a ako funguje zraniteľnosť v Microsoft SharePoint ?
Bezpečnostné tímy z Trend Micro a Viettel Cyber Security identifikovali dva kritické problémy:
- CVE-2025-53770: Neautentifikovaný útočník dokáže zneužiť chybu v deserializácii a získať plnú kontrolu nad serverom.
- CVE-2025-53771: Využitím manipulácie hlavičky „Referer“ je možné obísť autentifikáciu.
Tieto dve slabiny spojené do reťazca ToolShell predstavujú extrémne nebezpečenstvo: umožňujú nahranie .aspx skriptov, odcudzenie machine keys a generovanie škodlivých VIEWSTATE payloadov na trvalý RCE (Remote Code Execution).
Premýšľaj: Ak máš SharePoint on-premise a nevieš, čo sa deje v logoch, možno už niekto číta tvoje dáta.
Kto bol zasiahnutý a čo to znamená?
Zraniteľnosť v Microsoft SharePoint bola aktívne zneužívaná ešte predtým, než Microsoft stihol reagovať. Zasiahnuté boli:
- Vládne úrady a federálne inštitúcie (USA, Kanada, EÚ)
- Energetický sektor a zdravotnícke zariadenia
- Univerzity a výskumné centrá
Odhaduje sa, že kompromitovaných bolo vyše 75 organizácií, ale reálny počet môže byť vyšší. Útočníci navyše opätovne využili aj staršie zraniteľnosti ako CVE-2025-49704, čo naznačuje systematický prístup a dôkladnú znalosť cieľových prostredí.
Používaš SharePoint Online? Máš šťastie – tento útok sa týka iba on-premise inštalácií.
Zdroj : The Hacker News
Ako funguje útok ToolShell?
Zneužitie prebieha v štyroch krokoch:
|
1 2 |
POST /layouts/15/ToolPane.aspx?DisplayMode=Edit Referer: fake.internal.host |
- Útočník odošle špeciálnu požiadavku a nahrá webshell
spinstall0.aspx - Webshell získa machine keys z ASP.NET aplikácie
- Útočník vytvorí vlastný podpísaný VIEWSTATE
- Získava trvalý prístup k serveru cez RCE
Takýto útok je veľmi ťažko detekovateľný, ak neexistuje dôsledné logovanie a SIEM pravidlá. Mnohé firmy ani netušia, že sú už dávno kompromitované.
Over si: Máš logovanie POST požiadaviek? Vieš, kedy naposledy niekto uploadol .aspx súbor?
Reakcia Microsoftu a odporúčania
Microsoft zareagoval vydaním nasledujúcich záplat:
- KB5002768 – SharePoint Subscription Edition
- KB5002754 – SharePoint Server 2019
- SharePoint Server 2016 – oprava vo finálnom testovaní
Zároveň odporúča:
- Okamžite nainštalovať aktualizácie
- Rotovať machine keys po update
- Monitorovať špecifické endpointy ako ToolPane.aspx
- Obmedziť verejný prístup k SharePoint serverom
- Nasadiť antimalvérové riešenie s podporou AMSI
Pozor: Záplata bez rotácie machine keys nestačí. Útočník si môže kľúče uchovať a spustiť útok neskôr.
Kroky, ktoré musíš urobiť
🔥 Bezodkladne:
-
Aplikuj najnovšie záplaty a reštartuj servery
-
Rotuj machine keys a reštartuj IIS
-
Obmedz prístup na internú VPN, ak server nie je určený pre verejnosť
-
Aktivuj AMSI a Defender AV
-
Skontroluj Application Pools a oprávnenia služieb
-
Zakáž debug mód
-
Zablokuj nahrávanie .aspx skriptov cez Forms
-
Vynúť HTTPS s platným certifikátom
-
Vypni nepoužívané služby v SharePointe
📆 Do 7 dní:
-
Prejdi logy ToolPane.aspx, najmä POST požiadavky
-
Vytvor SIEM pravidlá na detekciu podozrivých VIEWSTATE
-
Skontroluj prístupové politiky, nastav expirácie účtov
-
Zapni alerty na zmenu nastavení IIS a .NET
-
Otestuj obnovu záloh a ich integritu
-
Zmeň heslá servisných účtov, ktoré majú prístup k SharePointu
-
Spusť bezpečnostný audit alebo vulnerability scan
🛡️ Do 30 dní:
-
Implementuj sieťovú segmentáciu a model Zero Trust
-
Revízia access governance, najmä externých účtov a partnerov
-
Zaveď DLP a šifrovanie citlivých dát
-
Automatizuj mesačný reporting bezpečnostných udalostí
-
Nechaj vykonať penetračný test zameraný na SharePoint
-
Škol používateľov na bezpečnostné hrozby a phishing
-
Zníž počet globálnych adminov a zavedi dvojfaktorovú autentifikáciu
-
Vytvor interný incident response plán pre SharePoint
Čím viac bodov z tohto zoznamu splníš, tým menej spíš so stresom. 😴🔐
Zhrnutie a výzva pre IT oddelenia : Zraniteľnosť v Microsoft SharePoint
Tento útok je dôkazom, že pasívny prístup k bezpečnosti je minulosťou. Moderné útoky využívajú kombináciu slabín, ktoré tradičné riešenia nezachytia.
🔑 Kľúčové poznatky:
- Záplata nestačí – kľúče musia byť obnovené
- Logovanie nestačí – musíš vedieť, čo logy znamenajú
- Monitoring nestačí – musia byť nastavené detekčné pravidlá
Pre IT správcov a bezpečnostné tímy:
- Buďte proaktívni
- Nečakajte na varovanie z externého zdroja
- Otestujte vlastné systémy a procesy ešte dnes
Ak máš prečítaný článok o zraniteľnosti v Microsoft SharePoint, pozri si aj ďalšie moje články :
- Najčastejšie taktiky v SMB sieti – Zneužitie RDP, SMB a LOLBins
- Penetračné testy: Ako si vyskúšať bezpečnosť svojej siete
- 10 najčastejších chýb používateľov – doma aj v práci
