On-Prem SharePoint Customers Targeted in ‘ToolShell’ Exploit — गहराई से विश्लेषण और प्रैक्टिकल प्रैक्टिस
📌 परिचय: SharePoint ‘ToolShell’ Exploit क्या है?
‘ToolShell’ एक गंभीर zero-day exploit chain है जिसका उपयोग खतरे वाले हमलावरों (threat actors) द्वारा दुनिया भर में On-Premises Microsoft SharePoint Server इंस्टॉलेशन्स को निशाना बनाने के लिए किया जा रहा है। इस नाम का प्रयोग सुरक्षा शोधकर्ताओं ने SharePoint के दो कमजोरियों (CVE-2025-53770 और CVE-2025-53771) को जोड़कर विकसित किए गए exploit chain के लिए किया है, जिससे unauthenticated Remote Code Execution (RCE) संभव होता है।
🔍 ToolShell Exploit का तकनीकी विश्लेषण
⚠️ 1. प्रमुख कमजोरियाँ
📌 CVE-2025-53770 (Critical RCE)
यह एक Remote Code Execution (RCE) vulnerability है, जिसका स्कोर CVSS 9.8 है। असुरक्षित deserialization के कारण अटैकर खुद के crafted डेटा को SharePoint के internal context में execute कर पाते हैं।
📌 CVE-2025-53771 (Authentication Bypass)
यह vulnerability SharePoint की request handling में spoofed headers के साथ authentication bypass की अनुमति देती है। इससे initial access बिना कोई credentials के मिल सकता है।
ये दोनों मिलकर ToolShell exploit chain बनाते हैं, जिससे unauthenticated request /_layouts/15/ToolPane.aspx जैसे endpoints में RCE और unauthorized access प्राप्त किया जा सकता है।
⚙️ एटैक चेन (Attack Chain) — चरणबद्ध विवरण
🧩 चरण 1: Authentication Bypass
-
हमलावर स्पूफ किए गए Referer header (
/_layouts/SignOut.aspx) के साथ /_layouts/15/ToolPane.aspx पर POST request भेजते हैं। -
इससे SharePoint authentication check को bypass करने की कोशिश की जाती है।
-
यह CVE-2025-53771 के कारण संभव होता है।
🧠 चरण 2: Remote Code Execution (RCE)
-
Authentication bypass के बाद crafted POST request SharePoint के unsafe deserialization logic को ट्रिगर करती है।
-
हमलावर arbitrary ASPX payload जैसे
spinstall0.aspxupload करता है, जो कि webshell का काम करता है। -
इससे सर्वर पर arbitrary कोड execute होता है।
🕵️ चरण 3: Machine Key Theft
-
compromised सर्वर की ASP.NET machine keys (ValidationKey & DecryptionKey) चुराई जा सकती हैं।
-
इन keys का उपयोग करके हमलावर future में authenticated payloads craft कर सकता है।
🌍 किसे प्रभावित करता है?
यह exploit केवल on-premises SharePoint Server इंस्टॉलेशन्स को प्रभावित करता है, जैसे कि:
✅ SharePoint Server Subscription Edition
✅ SharePoint Server 2019
✅ SharePoint Server 2016
SharePoint Online (Microsoft 365) कोई जोखिम नहीं उठाता क्योंकि यह cloud architecture से अलग कार्य करता है।
📈 वास्तविक दुनिया में खतरा
सिक्योरिटी शोध रिपोर्टों के मुताबिक 2025 जुलाई में globally हजारों अनपैच्ड SharePoint सर्वर exposed इंटरनेट पर मिले हैं, और साइबर हमलावर लगातार ToolShell का इस्तेमाल कर RCE प्राप्त कर रहे हैं।
सैक्टर-व्यापी लक्ष्यों में इंजीनियरिंग फर्म, सरकारी संस्थान, शिक्षा संस्थाएँ और टेलीकॉम कंपनियाँ शामिल हैं।
🛡️ प्रैक्टिकल सुरक्षा उपाय (Mitigation Steps / Best Practices)
नीचे दिए गए कदमों को तुरंत लागू करें ताकि आपकी SharePoint environment सुरक्षित रहे:
✅ 1. Patch & Update (तुरंत लागू करें)
Microsoft ने CVE-2025-53770 और CVE-2025-53771 के लिए emergency security updates जारी किए हैं।
अपने on-prem SharePoint सर्वरों को तुरंत patch करें।
📌 Supported Versions के लिए जरूरी अपडेट लागू करें:
-
SharePoint Subscription Edition
-
SharePoint Server 2019
-
SharePoint Server 2016
🔑 2. ASP.NET Machine Key Rotation
पैच के बाद, ASP.NET machine keys को rotate करना आवश्यक है ताकि चोरी हुई keys का misuse रोका जा सके।
PowerShell या manual config के ज़रिए ValidationKey और DecryptionKey बदलें।
यह सुनिश्चित करता है कि पुराने keys से authenticated payloads valid नहीं रहेंगे।
🛡️ 3. Endpoint Protection & AMSI (Antimalware Scan Interface)
✔ AMSI integration को Full Mode पर enable करें।
✔ Microsoft Defender या अन्य Endpoint Protection tools को configure करें ताकि malicious scripts और payloads inspect हो सकें।
🔍 4. Network Hardening
✔ SharePoint सर्वर को सीधे इंटरनेट पर न रखें।
✔ Reverse proxy / MFA authentication लागू करें।
✔ WAF (Web Application Firewall) के साथ custom signatures बनाएं जो ToolShell जैसे exploit attempts को रोकें।
📊 5. Detection Rules & Threat Hunting
SIEM या log analytics में detection rules जोड़ें, जैसे:
सिर्फ पैच करना ही पर्याप्त नहीं है; threat hunting और monitoring भी जरूरी है।
🧪 Incident Response (IR) Practice Checklist
✔ अगर compromise का संदेह है, तो:
-
सर्वर को isolate करें
-
forensic imaging लें
-
malicious ASPX/webshell files ढूंढें (जैसे: spinstall0.aspx)
-
network connections को analyze करें
-
machine keys rotate करें
-
re-deploy trusted backup के साथ सिस्टम
इन कदमों से compromise के बाद attacker persistence हटाया जा सकता है।
🔚 निष्कर्ष (Conclusion)
‘ToolShell’ exploit एक गंभीर और सक्रिय खतरा है जो on-prem SharePoint सर्वरों को बिना authentication के पूरी system compromise की अनुमति देता है। यह exploit chain multiple CVEs का उपयोग करता है, जो attackers को unauthorized RCE, key theft और persistence देता है।
📌 मुख्य सुरक्षा सीखें:
✔ Patch तुरंत लागू करें
✔ Machine keys rotate करें
✔ Security monitoring और threat hunting सक्रिय करें
✔ Internet-exposed सर्वरों को सुरक्षित रूप से configure करें
आपकी SharePoint environment की सुरक्षा आपके patching cadence, monitoring controls और proactive threat hunting पर निर्भर करती है।