📍 Вводный хук:
В июле 2025 года произошла одна из самых опасных атак на корпоративные сети за последние годы.
Под ударом оказались инфраструктуры пяти стран, включая Россию. Инструмент, получивший название ToolShell, показал, что даже хорошо защищённые серверы SharePoint могут стать уязвимыми — если эксплойт продуман до байта.
Эта атака не несла вируса. Она несла архитектуру.
🧩 Как работает ToolShell
ToolShell — это многоступенчатая цепочка из пяти уязвимостей, каждая из которых усиливает предыдущую:
- CVE-2025-49706
Была найдена логическая ошибка в методе PostAuthenticateRequestHandler
Обход аутентификации через поддельный HTTP Referrer, указывающий на /_layouts/SignOut.aspx - CVE-2025-53771
Уязвимость маршрутизации: даже после запрета ToolPane.aspx можно было обойти защиту, просто добавив / в конец пути - CVE-2025-49704
Классическая уязвимость десериализации через POST-запросы
Вредоносный XML с ExcelDataSet, использующий CompressedDataTable внутри WebPart - CVE-2025-53770
Уязвимость в XmlValidator из-за неправильной обработки вложенных списков
Распаковка происходит даже без срабатывания валидации - CVE-2020-1147
Старый эксплойт, получивший вторую жизнь — применён с обходом через вложенные структуры
🧠 Почему это критично?
- Обход всех этапов аутентификации
- Удалённое выполнение кода (RCE) без предупреждений
- Поддержка как клиентской, так и серверной атаки
- Минимальные изменения запроса — иногда всего 1 байт
📌 По уровню риска ToolShell сравнивают с ProxyLogon и EternalBlue — атаками, ставшими основой глобальных заражений.
🌍 География заражения
Согласно данным «Лаборатории Касперского», пострадали:
- Египет
- Иордания
- Россия
- Вьетнам
- Замбия
Жертвами стали:
– госучреждения
– банки
– промышленные и аграрные компании
Объединяет их одно: широкое использование SharePoint и IIS, а также отложенные обновления безопасности.
🧪 Почему SharePoint уязвим?
SharePoint — это сложная система с глубокой интеграцией в IIS и .NET, что делает её:
- мощной
- гибкой
- и потенциально уязвимой, если обновления не ставятся вовремя
ToolShell не использует вирусы или инъекции. Он эмулирует правильный запрос, эксплуатируя логику самой системы.
🛡 Что делать?
1. Немедленно обновить SharePoint и IIS.
– Обновление от 20 июля 2025 закрывает CVE-2025-53770 и усиливает URL-маршрутизацию
– Microsoft усилила валидацию типов в XML
2. Использовать WAF с поддержкой Zero-Day Detection
– Только сигнатурные системы не помогут: атака слишком похожа на легитимный трафик
3. Проводить аудит путей и конфигураций в web.config
– Microsoft допустила ошибку: не включила защиту по умолчанию — её надо активировать вручную
🧾 Вывод:
ToolShell — это не просто баг, это инженерно выверенное наступление на одну из самых распространённых корпоративных платформ в мире.
Здесь нет вирусов и фишинга. Только знание внутренностей .NET, IIS и XML.
📅 Следующая статья:
“Когда кибератака становится актом войны: юридические и политические последствия поражения критической инфраструктуры”