A Agência de Segurança Cibernética e Infraestrutura (CISA) emitiu um alerta crítico sobre uma cadeia de exploração apelidada de “ToolShell” direcionada a servidores locais do Microsoft SharePoint.
Ele aproveita várias vulnerabilidades, incluindo CVE-2025-49704 (uma falha de execução remota de código por meio de injeção de código, CWE-94), CVE-2025-49706 (autenticação inadequada por meio de falsificação de rede, CWE-287), CVE-2025-53770 (desserialização de dados não confiáveis, CWE-502) e CVE-2025-53771 (outro problema de autenticação imprópria, CWE-287).
De acordo com a análise, os agentes de ameaças encadeiam o CVE-2025-49706 com o CVE-2025-49704 para obter acesso não autorizado, enquanto o CVE-2025-53770 e o CVE-2025-53771 permitem ignorar mitigações anteriores, potencialmente permitindo persistência furtiva.
Análise de malware da CISA Relatório (MAR-251132.c1.v1) detalha seis arquivos enviados, duas DLLs .NET codificadas em Base64 e quatro arquivos ASPX usados nesses ataques, enfatizando a extração de segredos criptográficos, como chaves de máquina, de configurações ASP.NET, que são adicionadas aos cabeçalhos de resposta HTTP para exfiltração.
Essa cadeia, vinculada a atores como Linen Typhoon, Violet Typhoon e Storm-2603, facilita a implantação do webshell, a execução de comandos e Roubo de dados, representando riscos significativos para organizações com instances.paste.txt do SharePoint expostos
Componentes de malware
Os artefatos analisados revelam táticas sofisticadas: as DLLs (por exemplo, bjcloiyq.dll e osvmhdfl.dll) empregam reflexão para acessar MachineKeySection em System.Web.Configuration, recuperando chaves de validação e descriptografia junto com detalhes do sistema, como letras de unidade, nomes de usuário e versões do sistema operacional, que são formatados e exfiltrados por meio de cabeçalhos personalizados como “X-TXT-NET”.
ASPX, como spinstall0.aspx geram diretamente essas chaves, enquanto info3.aspx atua como um conta-gotas, decodificando e instalando um webshell mal-intencionado (outra variante info3.aspx) que lida com autenticação baseada em cookie, execução de comando via cmd.exe ou PowerShell e uploads de arquivos.
Webshells como spinstallb.aspx e spinstallp.aspx são executados criptografados Comandos do PowerShell, usando a descriptografia XOR com chaves codificadas para executar cargas úteis e retornar saídas em formato codificado em Base64, permitindo controle remoto e impressão digital.
Esses componentes demonstram recursos para roubar credenciais de autenticação, exfiltrar dados e instalar mais malware, com regras YARA detectando cargas .NET codificadas e regras SIGMA identificando padrões de exploração, como solicitações HTTP suspeitas para /_layouts/ paths.paste.txt
Assinaturas de detecção
A CISA fornece regras de detecção YARA e SIGMA para identificar essas ameaças, incluindo padrões para DLLs codificadas em Base64, comportamentos de webshell e IOCs, como endereços IP específicos e hashes de arquivo.
As organizações são incentivadas a aplicar os patches da Microsoft, monitorar atividades anômalas nos logs do SharePoint e usar os IOCs fornecidos para caça a ameaças.
Para uma mitigação mais profunda, é recomendável revisar referências como a orientação da Microsoft sobre a exploração CVE-2025-53770, pois os servidores não corrigidos permanecem vulneráveis a attacks.paste.txt encadeados
Indicador de Comprometimento (IoCs)
| Tipo | Valor do COI | Descrição |
|---|---|---|
| SHA256 | 60a37499f9b02c203af24c2dfd7fdb3834cea707c4c56b410a7e68376938c4b7 | Dados de DLL do .NET codificados em Base64 |
| SHA256 | bee94b93c1796981a55d7bd27a32345a61304a88ed6cd70a5f7a402f1332df72 | Chaves de máquina de extração de DLL do .NET |
| SHA256 | 92bb4ddb98eeaf11fc15bb32e71d0a63256a0ed826a03ba293ce3a8bf057a514 | Chaves de saída de arquivo ASPX |
| IP | 107.191.58.76 | Infraestrutura do invasor |
| IP | 104.238.159.149 | Infraestrutura do invasor |
| Caminho do arquivo | _layouts/15/spinstall0.aspx | Ponto de extremidade ASPX mal-intencionado |
The Ultimate SOC-as-a-Service Pricing Guide for 2025–Baixe de graça