Selon Trustwave SpiderLabs, une campagne baptisée « ToolShell » cible massivement des serveurs Microsoft SharePoint on‑premises via une chaîne de quatre vulnérabilités, dont CVE-2025-49706 et CVE-2025-53770, permettant un contournement d’authentification puis une exécution de code à distance (RCE). Des acteurs étatiques chinois, notamment Linen Typhoon et Violet Typhoon, exploitent activement ces failles pour obtenir et maintenir un accès persistant. 🚨
Le point d’entrée consiste à exploiter CVE-2025-49706 au moyen de requêtes POST spécialement conçues vers /_layouts/{version}/ToolPane.aspx?DisplayMode=Edit, combinées à des en‑têtes Referer manipulés pour bypasser l’authentification. Les attaquants déploient ensuite des pages ASPX malveillantes (ex. spinstall0.aspx) afin d’extraire des clés cryptographiques SharePoint.
Ces pages malveillantes utilisent notamment System.Reflection.Assembly.Load() et l’accès à MachineKeySection pour récupérer les clés, lesquelles servent ensuite à mener des attaques de désérialisation ViewState liées à CVE-2025-53770, débouchant sur la RCE. La phase post‑exploitation inclut des charges PowerShell encodées en Base64, de la reconnaissance via requêtes LDAP, et le déploiement de web shells (China Chopper, AntSword) pour la persistance. Le C2 et l’exfiltration s’appuient sur le service RequestRepo. 🐚
Trustwave souligne une compréhension approfondie des internes de SharePoint par ces acteurs, ainsi qu’un réemploi d’outils éprouvés (China Chopper, AntSword) afin d’assurer une présence durable et discrète sur les hôtes compromis. Les groupes attribués sont Linen Typhoon et Violet Typhoon.
- IOCs et artefacts observés:
- Chemin ciblé:
/_layouts/{version}/ToolPane.aspx?DisplayMode=Edit - En‑têtes HTTP: Referer manipulé
- Fichier/page malveillant(e):
spinstall0.aspx - Outils/web shells: China Chopper, AntSword
- Service C2/exfiltration: RequestRepo
- Chemin ciblé:
- TTPs observées:
- Bypass d’authentification via requêtes POST forgées (CVE-2025-49706)
- Extraction de clés cryptographiques (MachineKeySection) et chargement dynamique (
Assembly.Load) - Désérialisation ViewState menant à RCE (CVE-2025-53770)
- PowerShell encodé Base64, reconnaissance LDAP, persistance par web shells
Il s’agit d’une analyse de menace détaillant une campagne d’exploitation en cours, ses vecteurs techniques et les acteurs impliqués, dans un but de sensibilisation et de renseignement technique.
🧠 TTPs et IOCs détectés
TTPs
[‘Bypass d’authentification via requêtes POST forgées (CVE-2025-49706)’, ‘Extraction de clés cryptographiques (MachineKeySection) et chargement dynamique (Assembly.Load)’, ‘Désérialisation ViewState menant à RCE (CVE-2025-53770)’, ‘PowerShell encodé Base64’, ‘Reconnaissance LDAP’, ‘Persistance par web shells’]
IOCs
[‘Chemin ciblé: /_layouts/{version}/ToolPane.aspx?DisplayMode=Edit’, ‘En‑têtes HTTP: Referer manipulé’, ‘Fichier/page malveillant(e): spinstall0.aspx’, ‘Outils/web shells: China Chopper, AntSword’, ‘Service C2/exfiltration: RequestRepo’]
🔗 Source originale : https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/echoes-in-the-shell-legacy-tooling-behind-ongoing-sharepoint-toolshell-exploitation/