SharePoint On‑Prem תחת מתקפה: ToolShell – האם גם אתם נפגעתם?
מתקפת הסייבר "ToolShell" (המנצלת את הפגיעויות CVE-2025-53770 ו-CVE-2025-53771) מכוונת באופן פעיל נגד שרתי Microsoft SharePoint מקומיים (On-Premises). המתקפה מאפשרת לתוקפים לא מאומתים להשתלט על השרת, לגנוב מידע רגיש, ובחמור מכל – להתבסס ברשת הארגונית לטווח ארוך באמצעות גניבת מפתחות הצפנה. אם הארגון שלכם מפעיל שרתי SharePoint מקומיים שהיו חשופים לאינטרנט, יש לפעול מתוך הנחה שהם כנראה נפגעו. איך תדעו אם נפגעתם? המזהים העיקריים (IOCs) שיש לבדוק מיידית: 1. בדיקת לוגים (IIS Logs): 1.1 דפוס הפריצה הראשוני: חפשו בקשות POST לנתיב /_layouts/15/ToolPane.aspx שהגיעו עם Referer" header" המכיל /_layouts/SignOut.aspx. שילוב זה הוא אינדיקטור חזק מאוד לניסיון פריצה. 1.2 גישה לקבצים זדוניים: בדקו בקשות GET לקבצים חשודים בנתיב /_layouts/15/, ובמיוחד לקבצים בשם spinstall0.aspx או ghostfile*.aspx. 2. בדיקת מערכת הקבצים: חיפוש קבצי Webshell: סרקו את שרתי ה-SharePoint לאיתור קבצי aspx זדוניים, בעיקר בנתיב: C:\Program File...