工具壳：威胁行为者的全部自助餐

工具壳：威胁行为者的全部自助餐

ESET研究一直在监视涉及最近发现的工具壳零日漏洞的攻击

2025年7月24日•，5分钟。阅读

2025年7月24日 • ， 5分钟。阅读

在2025年7月19日，微软确认，在野外正在利用一组名为Toolshell的SharePoint服务器中的零日漏洞。 Toolshell由CVE-2025-53770（远程代码执行漏洞）和CVE ‑ 2025-53771组成，这是一个欺骗漏洞的服务器。这些攻击针对本地的Microsoft SharePoint服务器，特别是那些运行SharePoint订阅版，SharePoint 2019或SharePoint 2016的那些攻击。利用这些漏洞使威胁参与者能够进入受限制的系统并窃取敏感信息。

^th 确认 CVE-2025-53770 CVE −2025-53771

从7月17日开始，工具壳已被各种威胁参与者广泛利用，从小观的网络犯罪分子到民族国家公寓群体。由于SharePoint与其他Microsoft服务（例如Office，OneDrive和Outlook）集成在一起，因此此妥协可以为攻击者提供在受影响的网络中的惊人访问水平。

作为攻击的一部分，威胁参与者经常将四个漏洞链接在一起：先前修补的CVE-2025-49704和CVE-2025-49706，以及已经提到的CVE-2025-53770和CVE-2025-53770和CVE-2025-53771。截至7月22日，CVE-2025‑53770和CVE-2025-53771也进行了修补。

CVE ‑ 2025-49704 CVE-2025-49706 7月22日

Webshell有效载荷

开发工具壳允许攻击者绕过多因素身份验证（MFA）和单个签名（SSO）。进入目标服务器后，看到攻击者部署了恶意网络壳，以从折衷的系统中提取信息。经常用于此目的的脚本之一命名为spinstall0.aspx，我们将其跟踪为msil/webshell.js。

spinstall0.aspx ^nd cmd.exe ghostfile346.aspx ghostfile399.aspx IP地址 IP 。 IP。