Författare

SOC @ Asurgent

Read time

2 min

asurgents cybersäkerhetsblogg kopiera

 En mycket allvarlig sårbarhet har nyligen upptäckts i Microsoft SharePoint Server, och säkerhetsföretaget Eye Security var bland de första att slå larm om att attackerna redan är i full gång. Den nya sårbarheten, som går under namnet ToolShell och har tilldelats CVE‑2025‑53770 och CVE‑2025‑53771. Denna CVE gör det möjligt för angripare att ta full kontroll över SharePoint-servrar utan att behöva logga in.

Attacken sker i flera steg. Först laddar angriparen upp en specialanpassad sida till SharePoint,som sedan kör skadlig kod direkt på servern. Därefter exfiltreras krypteringsnycklar och annan känslig information, vilket gör det möjligt för angriparen att behålla åtkomsten till systemet även om man senare patchar sårbarheten. Just detta gör denna attack extra farlig då det inte räcker med att bara uppdatera sina servrar. Har någon redan hunnit in kan de fortsätta komma åt systemet i hemlighet.

Över 8 000 SharePoint-servrar världen över har redan blivit skannade och flera attacker har bekräftats. Offren är allt från universitet och myndigheter till företag inom energi och telekom. Microsoft har bekräftat problemet och amerikanska cybersäkerhetsmyndigheten CISA har klassat det som ett aktivt pågående hot.

För att minska risken för intrång uppmanas alla organisationer som använder SharePoint att agera omedelbart. Det första steget är att koppla bort servern från internet om så är möjligt. Därefter bör man noggrant granska loggarna efter misstänkta filer och anrop, särskilt sådana som rör filen “ToolPane.aspx” eller filer med namn som “spinstall0.aspx”. Microsoft har redan släppt säkerhetsuppdateringar för vissa versioner av SharePoint, men i väntan på att patchar för äldre versioner bör man använda tillfälliga skyddsåtgärder som att aktivera Microsoft Defender och AMSI.

Men det kanske viktigaste av allt, även efter att man patchat sårbarheten är det avgörande att byta ut alla krypteringsnycklar och certifikat. Annars finns risken att angriparna kan ta sig in igen med hjälp av den information de redan hunnit stjäla.

Det här är inte en teoretisk risk utan ett pågående angrepp som redan drabbat många. För organisationer som fortfarande kör SharePoint lokalt är det hög tid att överväga en övergång till SharePoint Online, som inte är sårbar för just denna typ av attack.

Ta del av de senaste insikterna och nyheterna

Prenumerera på vårt cybersäkerhetsnyhetsbrev för att ha koll på senaste nytt inom cyberfären. 

Prenumerera på vår cybernyheter