Разбор ToolShell — группы активно эксплуатируемых уязвимостей Microsoft SharePoint

В списке «вечнозелёных» уязвимостей, которые годами эксплуатируются злоумышленниками — явное пополнение. Уязвимости  CVE-2025-49704, -49706, -53770 и -53771, получившие общее название ToolShell, уже используются несколькими группами атакующих и имеют все шансы встать в один ряд с ProxyLogon, PrintNightmare или EternalBlue.
Дефекты ToolShell просты в эксплуатации, открывают значительный доступ к инфраструктуре жертвы после успешного взлома, а при их устранении легко ошибиться и либо оставить систему уязвимой, либо провести неполное реагирование и фактически не выгнать атакующих из сети.

В новом посте эксперты GReAT провели детальный анализ уязвимостей, разъяснили, почему первые патчи Microsoft пятилетней давности (закрывающие CVE-2020-1147) оказалось элементарно обойти, а также поделились информацией о наблюдаемых атаках, в которых используется ToolShell.

Жертвы обнаружены в России, а также в странах Африки и Азии, затрагивая правительственные, промышленные, финансовые и аграрные организации.  По наблюдениям других ИБ-компаний, спектр атак через ToolShell уже варьируется от шпионажа до ransomware.

Все детали и рекомендации по защите читайте на Securelist. 
Кроме оперативного обновления уязвимого ПО, необходимо защищать все серверы надёжным решением, способным детектировать эксплуатацию уязвимостей, даже нулевого дня.

Уже сейчас благодаря компоненту Behaviour detection, пользователи Kaspersky Endpoint Security защищены от последствий эксплуатации этой уязвимости. Kaspersky EDR поможет идентифицировать, анализировать и нейтрализовывать даже маскирующиеся угрозы. NGFW, который скоро пополнит портфолио «Лаборатории Касперского», обеспечит комплексную защиту.

#APT #уязвимости @П2Т