Microsoft SharePoint, platforma za deljenje i upravljanje dokumentima unutar organizacija, postao je poslednjih nedelja ključna meta u novom talasu sajber napada. Prema najnovijim izveštajima istraživača i bezbednosnih firmi, SharePoint serveri sve češće su na udaru kako sofisticiranih APT grupa, tako i ransomware bandi koje iskorišćavaju ranjivosti da bi kompromitovale mreže, zaobišle zaštitne mehanizme i ostvarile finansijsku dobit.
U osnovi ovih napada nalazi se alat poznat kao ToolShell, koji koristi više zero-day i već zakrpljenih ranjivosti u Microsoft SharePoint serverima. ToolShell napadi omogućavaju napadačima zaobilaženje višefaktorske autentifikacije (MFA), Single Sign-On (SSO) prijavljivanja i pružaju pristup osetljivim sistemima bez direktne interakcije sa korisnicima.

Šta je novo nakon mesec dana?

Iako su prvi izveštaji o ToolShell napadima odjeknuli pre više od mesec dana, danas je jasno da je problem postao još ozbiljniji.

  • Širenje napada: exploit je brzo prilagođen, a napadi su se intenzivirali širom sveta, uz zaobilaženje prvih zakrpa.
  • Novi akteri: pored APT grupa, uključile su se i ransomware bande poput 4L4MD4R, koje koriste iste ranjivosti za ucenu i šifrovanje podataka.
  • Hitne mere: Microsoft je izdao vanredna ažuriranja, ali bezbednosni eksperti upozoravaju da samo patch nije dovoljan – preporučuje se i aktivacija dodatnih zaštitnih mehanizama (AMSI, rotacija ključeva, app gating, EDR nadzor).

Sve to pokazuje da se ToolShell iz inicijalnog tehničkog problema pretvorio u globalni bezbednosni izazov, koji pogađa i javni i privatni sektor.

Od lokalnog alata do globalne pretnje: šta je ToolShell?

Prema ESET istraživanju, ToolShell predstavlja sofisticirani malver koji koristi PowerShell i ranjivosti SharePoint platforme kako bi omogućio širok spektar funkcionalnosti napadačima.

Ono što ToolShell čini posebno opasnim jeste njegova fleksibilnost – koristi se kako od strane oportunističkih sajber kriminalaca, tako i od strane državom sponzorisanih APT grupa. Napadi najčešće uključuju sledeće korake:

  • Kompromitacija SharePoint servera iskorišćavanjem poznatih ranjivosti (npr. CVE – 2025 – 53770, CVE – 2025 – 49704),
  • Izvođenje PowerShell komandi unutar mreže putem ToolShell frameworka,
  • Postavljanje malicioznih webshell-ova kao što je spinstall=.aspx (poznat kao MSIL/Webshell.JS),
  • Zaobilaženje MFA/SSO mehanizama i sticanja administratorskog pristupa.

Jednom kada je sistem kompromitovan, napadači mogu prikupljati informacije, širiti se lateralno kroz mrežu i otvarati vrata za sledeće faze – uključujući ransomware šifrovanje i krađu podataka.

Ransomware grupe se uključuju: nova faza napada

ToolShell ranjivosti nisu prošle nezapaženo ni među kriminalnim grupama fokusiranim na ransomware. Prema BleepingComputer izveštaju, više poznatih ransomware bandi počelo je da koristi iste vektore napada kako bi dobilo pristup sistemima i izvršilo šifrovanje podataka.

Uočeno je da SharePoint sve češće postaje “ulazna tačka” za napade koji dalje vode ka kompromitaciji čitave infrastrukture – od Active Directory-ja do fajl servera. Zbog svoje centralne uloge u radu organizacija, SharePoint kompromitacija može imati posebne razorne posledice.

Zašto je SharePoint ranjiv?

SharePoint serveri često ostaju nedovoljno  ažurirani, posebno u velikim sistemima gde se koriste on-premise verzije. Dodatno, integracija sa ostalim Microsoft servisima (Office, OneDrive, teams) čini ga ključnim čvorištem – i samim tim visoko vrednim ciljem.

Napadi iskorišćavaju kombinaciju poznatih i novih ranjivosti, uključujući:

  • CVE-2025-49704 i CVE-2025-49706 – ranije zakrpljene, ali često ne implementirane ispravke,
  • CVE-2025-53770 i CVE-2025-53771 – novije ranjivosti koje omogućavaju postavljanje malicioznih skripti,
  • Slabe konfiguracije i nedostatak EDR nadzora

ToolShell koristi ove rupe kako bi uspostavio trajan, nevidljiv pristup mreži, omogućavajući napadačima da neometano operišu danima ili nedeljama pre negó što budu otkriveni.

Kako se zaštititi: preporuke za IT timove

S obzirom na ozbiljnost situacije, preporučuje se hitno preduzimanje sledećih koraka:

  1. Ažurirajte sve Microsoft SharePoint instance na najnovije bezbednosne zakrpe, posebno one vezane za CVE identifikatore pomenute u izveštajima.
  2. Onemogućite nepotrebne servise i API-je koji mogu poslužiti kao vektor napada.
  3. Obratite pažnju na ponašanja koja ukazuju na moguću kompromitaciju – uključujući neovlašćene PowerShell aktivnosti, webshell fajlove i čudne autentifikacione zahteve.
  4. Implementirajte napredno EDR rešenje, poput ESET Inspect, koje omogućava detekciju ponašanja, lateralno kretanje i komandne aktivnosti unutar mreže.
  5. Uradite reviziju logova i analizu pristupa – posebno za privilegovane naloge i SSO integracije.

SharePoint je postao više od alata za čuvanje dokumenata – on je osnov svakodnevne saradnje i operacija. Kada taj prostor postane meta napada, posledice nisu samo tehnički problem – to je upad i srce vašeg poslovanja.

ToolShell kampanja i sve veći angažman ransomware grupa jasno pokazuje da sajber napadači ne kucaju na vrata, već traže svaki prozor koji ste ostavili odškrinut. Danas, više nije pitanje da li će organizacija biti napadnuta, već kada. Razlika između male štete i katastrofe leži u tome koliko brzo otkrijete upad, koliko redovno ažurirate sistem i koliko ozbiljno shvatate proaktivnu zaštitu.

Deo teksta preuzet sa: ToolShell: An all-you-can-eat buffet for threat actors

(Visited 4 times, 4 visits today)
Podelite na društvenim mrežama ...
Share on Facebook
Facebook
Pin on Pinterest
Pinterest
Tweet about this on Twitter
Twitter
Share on LinkedIn
Linkedin