SharePoint On‑Prem תחת מתקפה: ToolShell – האם גם אתם נפגעתם?

מתקפת הסייבר "ToolShell" (המנצלת את הפגיעויות CVE-2025-53770 ו-CVE-2025-53771) מכוונת באופן פעיל נגד שרתי Microsoft SharePoint מקומיים (On-Premises). המתקפה מאפשרת לתוקפים לא מאומתים להשתלט על השרת, לגנוב מידע רגיש, ובחמור מכל – להתבסס ברשת הארגונית לטווח ארוך באמצעות גניבת מפתחות הצפנה.

אם הארגון שלכם מפעיל שרתי SharePoint מקומיים שהיו חשופים לאינטרנט, יש לפעול מתוך הנחה שהם כנראה נפגעו.

איך תדעו אם נפגעתם? המזהים העיקריים (IOCs) שיש לבדוק מיידית:
1. בדיקת לוגים (IIS Logs):
    1.1 דפוס הפריצה הראשוני: חפשו בקשות POST לנתיב /_layouts/15/ToolPane.aspx שהגיעו עם Referer"       header" המכיל /_layouts/SignOut.aspx.
    שילוב זה הוא אינדיקטור חזק מאוד לניסיון פריצה.

    1.2 גישה לקבצים זדוניים: בדקו בקשות GET לקבצים חשודים בנתיב /_layouts/15/, ובמיוחד לקבצים בשם spinstall0.aspx או ghostfile*.aspx.

2. בדיקת מערכת הקבצים:
חיפוש קבצי Webshell: סרקו את שרתי ה-SharePoint לאיתור קבצי aspx זדוניים, בעיקר בנתיב: C:\Program Files\Common Files\Microsoft Shared\Web Server Extensions\16\TEMPLATE\LAYOUTS\. חפשו במיוחד את הקובץ spinstall0.aspx.

3. בדיקת תהליכים חשודים :
שרשרת תהליכים חריגה: אם יש לכם EDR נסו לבצע threat hunting, זהו אינדיקטור חשוב ביותר, גם נגד מתקפות ללא קבצים (fileless). חפשו אחר שרשרת תהליכים חריגה: תהליך w3wp.exe (ה-Worker של IIS) שמייצר תהליך בן של cmd.exe, אשר בתורו מייצר תהליך powershell.exe. זוהי התנהגות חשודה ביותר בהקשר של SharePoint.

שימו לב !
התקנת עדכון אבטחה בלבד אינה מספיקה. אם התוקפים הצליחו לגנוב את מפתחות ההצפנה של השרת (MachineKeys), הם שומרים על גישה מתמשכת גם לאחר העדכון.
לאחר התקנת העדכון, חובה לבצע החלפה (Rotation) של כל מפתחות ה-ASP.NET MachineKeys ולאתחל את שירותי ה-IIS כדי לנטרל את האיום לחלוטין ולשלול מהתוקפים את הגישה.

בנוסף מרבית היצרנים מציעים היום מיטגציה לפגיעות באמצעות חתימות IPS ומוצרים בסגנון של Virtual Patching , אם יש לכם כאלה וודאו שהם פעילים, זה בטוח לא יזיק.