Kinesiska hackerattacker mot SharePoint

Microsoft har identifierat pågående cyberattacker mot SharePoint-servrar världen över. Kinesiska hackergrupper utnyttjar allvarliga säkhetshål som ger dem möjlighet att stjäla känslig information och få permanent tillgång till företagsnätverk. Endast lokalt installerade SharePoint-servrar är drabbade – molnbaserade lösningar påverkas inte.

Angreppen genomförs genom att hackarna tar sig in via brister i SharePoint-servrar som är installerade i kunders egna datacenter, och inte via lösningar i molnet. Detta har lett till att känslig information har blivit stulen från olika verksamheter.

Omedelbar handlingsplan krävs: Patcha, rotera säkerhetsnycklar och granska loggar. Microsoft har bekräftat omfattningen och allvaret i dessa incidenter och uppmanar nu alla organisationer med lokalt installerad SharePoint att vidta omedelbara åtgärder för att skydda sina miljöer.

Vilka företag och organisationer är drabbade

Cyberattacken som utnyttjade sårbarheter i Microsofts SharePoint har drabbat ett brett spektrum av organisationer globalt. Attacken har även drabbat internationellt – regeringar i både Europa och Mellanöstern har påverkats. Gemensamt för de drabbade är att de använder SharePoint i sina egna nätverk, utanför molnlagring.

Attackerna har drabbat:

• Amerikanska myndigheter (inklusive kärnvapenmyndigheten NNSA)
• Europeiska regeringsorgan
• Energisektorn globalt
• Utbildningsinstitutioner
• Telekommunikationsföretag

Hotbilden just nu

Vilka angriper?

Microsoft har identifierat tre kinesiska hackergrupper som genomför koordinerade attacker sedan 18 juli 2025.

Grupperna använder en ny angreppsmetod kallad ”ToolShell” som utnyttjar en kedja av säkerhetshål i SharePoint. De drabbade organisationernas cybersäkerhetsrutiner och molnbaserade system ska ha begränsat skadorna, men incidenten visar på sårbarheten hos myndigheter och regeringar som förlitar sig på lokalt installerad programvara för dokumenthantering och Intranet.

Varför är detta allvarligt?

Angriparna kan:

• Få fullständig kontroll över SharePoint-servrar utan inloggning
• Stjäla kryptografiska nycklar som ger permanent åtkomst
• Sprida sig vidare i företagsnätverket
• Behålla kontrollen även efter säkerhetsuppdateringar

Sammanfattning för säkerhetschefer och Ciso

Ett nytt angreppsscenario kallat ToolShell utnyttjar en kedja av SharePoint-sårbarheter (CVE-2025-49704/49706) som nu har utvecklats till en noll-dag (CVE-2025-53770 + CVE-2025-53771). Resultatet är oautentiserad fjärrkörning av kod, stöld av kryptonycklar och ihållande åtkomst till alla lokala SharePoint-servrar som inte är fullt patchade. SharePoint Online i Microsoft 365 påverkas inte. Patching räcker inte – maskinnycklar måste roteras och loggar granskas omedelbart.

1. Bakgrund – varför just detta ”SharePoint-hack”?

• Sårbarheterna presenterades på Pwn2Own Berlin i maj 2025. Microsoft släppte preliminära patchar 8 juli.
• Den 18–19 juli upptäckte Eye Security och flera EDR-leverantörer mass-exploatering i Europa och USA.
• Exploiten gör en enkel POST till /_layouts/15/ToolPane.aspx med spoofad Referer /SignOut.aspx och hoppar helt över autentisering.
• Angriparen droppar webbshellet spinstall0.aspx, extraherar ValidationKey/DecryptionKey och kan därefter signera egna __VIEWSTATE-objekt för permanent RCE.
• Företag i offentlig sektor, energi, utbildning och telekom har redan komprometterats.

2. Teknisk översikt

CVE	Typ	CVSS	Status	Roll i kedjan
2025-49706	Auth-bypass i ToolPane.aspx	6,5	Patch 8 juli	Öppnar dörren
2025-49704	Filskrivning / RCE	8,8	Patch 8 juli	Lägger webbshell
2025-53770	Deserialisering → RCE	9,8	Nödpatch 20–21 juli	Gör kedjan oautentiserad
2025-53771	Path traversal / spoofing	6,5	Nödpatch 20–21 juli	Bypass-förfining

Steg-för-steg så fungerar attacken

Initial åtkomst: Angriparen skickar specialkonstruerade förfrågningar till SharePoint-servern Installation av bakdörr: En dold webbshell (spinstall0.aspx) installeras Nyckelstöld: Kryptografiska nycklar stjäls från servern Permanent kontroll: Med de stulna nycklarna kan angriparen komma tillbaka när som helst

1. Craftad POST till ToolPane.aspx?DisplayMode=Edit&a=/ToolPane.aspx med Referer /SignOut.aspx → auth-bypass.
2. PowerShell-payload sparar spinstall0.aspx i %LAYOUTS%-katalogen.
3. Shell hämtar MachineKey, ValidationKey, DecryptionKey och skickar ut dem till angriparen.
4. Angriparen genererar signerad __VIEWSTATE via ysoserial och får vidare RCE när som helst, även efter patchning om nycklarna inte roteras.

3. Drabbade produkter

Vilka system är sårbara?

Påverkade versioner

• SharePoint Server 2016 (on-premises)
• SharePoint Server 2019 (on-premises)
• SharePoint Server Subscription Edition
• Äldre versioner (2013/2010) kan vara delvis sårbara. SharePoint 2013/2010 är tekniskt sårbara för äldre kedjor (CVE-2019-0604) men ingår inte i ToolShell-patcharna.

Säkra system

• SharePoint Online, Teams och OneDrive i molnet påverkas inte.
• SharePoint Online (Microsoft 365)
• Microsoft Teams
• OneDrive för företag

4. Affärs- och säkerhetsrisker

• Fullständig domänkompromettering: Stulna nycklar låter angriparen förfalska cookies och MFA-tokenser.
• Dataintrång & lateral rörelse till Exchange, Teams, fileservrar.
• Hög uthållighet: Webbshell + giltiga signaturer överlever omstart, patchar och WAF-regler.
• Supply-chain-risk då SharePoint ofta är nav för PIM-flöden och DevOps-artefakter.

5. Detektion och identifiera pågående attacker

Använd befintliga säkerhetsverktyg (Microsoft Defender, Splunk, etc.) för att söka efter ovanstående mönster.

Varningssignaler i loggfiler

• POST-förfrågningar till /_layouts/15/ToolPane.aspx
• Referens-header innehållande /SignOut.aspx
• Oförklarliga filer: spinstall0.aspx, info3.aspx
• Trafik från misstänkta IP-adresser:
  • 96.9.125.147
  • 104.238.159.149
  • 107.191.58.76

Typ	Indikator
HTTP-vägar	/_layouts/15/ToolPane.aspx (POST, DisplayMode=Edit)
Referer-header	/ _layouts/SignOut.aspx (exakt match)
Skalad fil	%LAYOUTS%\\spinstall0.aspx eller xxx.aspx, info3.aspx
Logg-mönster	302 → 200 efter ovan POST, ingen cs-username
IP-adresser	96.9.125[.]147, 104.238.159[.]149, 107.191.58[.]76 m.fl.
User-Agent	Mozilla/5.0 … Firefox/120.0 (URL-kodad variant)
Hash	spinstall0.aspx SHA-256 92bb4ddb98eeaf11fc15bb32e71d0a63256a0ed8…

6. Omedelbara åtgärder (”Patch-plus”)

Akut åtgärdsplan

Steg 1: Installera säkerhetsuppdateringar

Ladda ner och installera Microsofts nödpatchar för er SharePoint-version omedelbart.

Steg 2: Rotera säkerhetsnycklar

Detta är kritiskt – enbart patchning räcker inte! Kör följande PowerShell-kommandon:

powershell

Set-SPMachineKey -WebApplication <Er-SharePoint-URL>
Update-SPMachineKey -WebApplication <Er-SharePoint-URL>
iisreset /noforce

Steg 3: Aktivera förbättrat skydd

• Aktivera Microsoft Defender på alla SharePoint-servrar
• Sätt upp AMSI (Antimalware Scan Interface)
• Begränsa extern åtkomst till SharePoint

Steg 4: Granska och rensa

• Sök efter och ta bort misstänkta filer
• Kontrollera alla administratörskonton
• Granska de senaste dagarnas aktivitetsloggar

1. Installera Microsofts juli-nödpatch för respektive version (KB-länkar i MSRC-artikeln).
2. Rotera ASP.NET-maskinnycklar:powershellSet-SPMachineKey -WebApplication <Url> Update-SPMachineKey -WebApplication <Url> iisreset /noforce
3. Aktivera AMSI + Defender AV på alla SharePoint-servrar.
4. Isolera publika SharePoint-noder tills patch + nyckelrotation är klar.
5. Kör hunting-queries (Defender 365, Splunk, etc.) för spinstall0.aspx, ToolPane-POST, Referer-mönster.
6. Om kompromiss bekräftas:
   • Stäng av nätverksåtkomst, ersätt ALLA refererade certifikat/lösenord, kör full IR-process.

7. Incident-response-checklista för CISO/SOC

Om ni redan är drabbade

Omedelbar isolering

1. Koppla bort drabbade servrar från nätverket
2. Dokumentera alla spår av intrånget
3. Kontakta er IT-säkerhetspartner

Återställningsprocess

1. Byt alla lösenord och certifikat som kan vara komprometterade
2. Genomför fullständig säkerhetsgenomsökning
3. Återställ från säkra säkerhetskopior
4. Implementera förstärkt övervakning

1. Assets: Inventera samtliga on-prem SharePoint-instanser och versioner.
2. Containment: Dra i kabeln eller blockera 443/80 extern trafik, om möjligt.
3. Eradication: Ta bort spinstall0.aspx & varianter, rensa tillsatta konton, patcha, rotera nycklar.
4. Recovery: Återskapa ren driftmiljö, testa ViewState-signering.
5. Lessons Learned: Uppdatera patch-processer, segmentera DMZ-servrar, inför Continuous Vulnerability Management.

8. Långsiktig säkerhet

Överväg molnmigration

SharePoint Online i Microsoft 365 påverkas inte av dessa sårbarheter och ger:

• Automatiska säkerhetsuppdateringar
• Inbyggt skydd mot attacker
• Minskad administrativ börda

Förstärk er säkerhetsarkitektur

• Implementera nätverkssegmentering
• Använd brandväggar för webbapplikationer (WAF)
• Sätt upp kontinuerlig sårbarhetsövervakning
• Begränsa administrativa rättigheter

Förbättra processer

• Snabbare patchrutiner
• Regelbundna säkerhetsgranskningar
• Utbildning av IT-personal
• Incidentberedskapsplaner

• Migrera till SharePoint Online eller Azure-AD Application Proxy för att minimera attackytan.
• Implementera Just-in-Time-PIM och begränsa Service Accounts som har impersonate-privilegier.
• Använd Web Application Firewall med signaturer för ToolPane-missbruk.
• Integrera EDR/UEBA som larmar på ovan IoC och avvikande __VIEWSTATE-storlek.
• Kräv Network Segmentation så att SharePoint inte når DC-händelser utan strikta ACL.

9. Historisk kontext – CVE-2019-0604

2019 års RCE-bugg (CVE-2019-0604) utnyttjade också __VIEWSTATE-deserialisering och används fortfarande mot äldre installationer. ToolShell visar att grundproblemen i SharePoint-arkitekturen kvarstår och att patchhygien måste kombineras med nyckelrotation och övervakning.

Slutsats: ToolShell-angreppen är ett klassiskt exempel på hur en partiellt patchad sårbarhet snabbt eskalerar till ett globalt noll-dags-hot. Säkerhetschefer bör omedelbart se till att patch + nyckelrotation + logggenomsökning genomförs, och samtidigt accelerera flytten bort från publikt exponerade on-prem SharePoint-farmar.