Komoly támadásszériára hívta fel a figyelmet a Microsoft: az on-premise, tehát helyben futó SharePoint szervereken egy kritikus biztonsági résen keresztül már hetek óta folyamatosan zajlik a támadás – a cég már július 20-án sürgős javításokat tett közzé a SharePoint 2019 és Subscription Edition verziókhoz, míg a régebbi 2016-os kiadások javítása még folyamatban van.
Mi az a ToolShell, és miért ijesztő?
A támadás valójában egy “zero-day” exploit – tehát eddig ismeretlen hiba –, amely lehetővé teszi rosszindulatú kód futtatását hitelesítés nélkül. Ez a sebezhetőség (CVE‑2025‑53770) a korábbi CVE‑2025‑49704/49706 hibákból nőtte ki magát, aprólékos chaining technikával (ToolShell exploittal) teljes rendszerhozzáférést tesz lehetővé.
-
Első jelek július 18-án bukkantak fel, és rövid idő alatt több tucatszervert már kompromittáltak.
-
Legalább 75 körüli szerverről tudnak, amelyek között nagyvállalatok és akár kormányzati rendszerek is vannak.
-
A támadók kriptográfiai kulcsokat is megszerezhetnek, így a javítás után is vissza tudnak térni.
Kik az elkövetők?
A Mandiant Cybersecurity Consulting szerint legalább egy támadócsoport Kínához köthető – noha nem kizárólagosan, de a tevékenységük egyik részét határos kapcsolat fűzi Kína által támogatott szereplőkhöz.
Hol érinti? És csak a felhőt célozzák?
Pusztán az on-premise SharePoint szerverek vannak veszélyben, tehát a felhős SharePoint Online-t használó szervezetek jelenleg nem érintettek. A kockázat főleg azoknál a cégeknél, intézményeknél van, ahol belső hálózaton fut a SharePoint, például oktatási, egészségügyi, kormányzati szektorban.
Mit tegyél most? – Gyors mentőakciók
-
Telepítsd azonnal a frissítéseket, ha SharePoint 2019/Subscription Edition verzióval dolgozol.
-
A SharePoint 2016 frissítése folyamatban – ha ezt használod, vedd offline-ra az internet elől.
-
AMSI engedélyezése, Defender for Endpoint alkalmazása, ASP.NET machine key forgatása javítás után.
-
Azonnali forensics & incident response, hiszen a támadók valószínűleg már bent vannak – nem elég csak a javítás.
-
Fájlmegfigyelés, naplózás – monitorozd a /_layouts/15/ToolPane.aspx kéréseket, IP-címeket (például 107.191.58.76).
Teendők céges IT-ért
| Teendő | Miért? |
|---|---|
| Frissítés | Lerombolja a sebezhetőséget |
| AMSI + Defender | Elősegíti azonnali védekezést, mielőtt exploitálva jár a szerver |
| Machine key forgatás | Meggátolja a már támadók visszajutását |
| Napi monitoring | Feltűnik, ha valaki furcsa kérésekkel bohóckodik az endpointokon |
Miért fontos ez nekünk?
-
Bizalomkockázat: A SharePoint rengeteg belső adatot tárol – egy sikeres hack akár PR-katasztrófát is okozhat.
-
Compliance gondok: Pl. GDPR megsértés akár 20 millió eurós bírsággal járhat.
-
Lépéselőny: A támadók már régen túl vannak a „bemenetőrésen”, tehát a keletkező offenzívia már komplex védekezést igényel.
Zárásként
Ha vállalati (főleg on-prem) SharePoint jár a rendszeredben: ne bízd a véletlenre. Frissíts, monitorozz, keresd azonnal a jeleket – és ha gyanítod, hogy érintett szervered már kompromittálva van, azonnal hívd a profi incident response csapatot. Mert ez már nem „egyszerű patch” sztori, hanem olyan kiberháborús helyzet, ahol a legapróbb odébbcsúsztatott idő is hatalmas ár lehet.
