Hackare med koppling till den kinesiska staten har förknippats med en omfattande våg av attacker som utnyttjar en ny sårbarhetskedja i Microsoft SharePoint. Angreppen har riktats mot SharePoint-servrar som körs lokalt hos organisationer runt om i världen.
Den aktuella sårbarheten, som fått namnet ToolShell, har använts för att ta sig in i tiotals organisationer genom att utnyttja två säkerhetsluckor: CVE-2025-49706 och CVE-2025-49704. De demonstrerades först under säkerhetskonferensen Pwn2Own i Berlin.
Enligt det nederländska säkerhetsföretaget Eye Security har minst 54 organisationer redan drabbats, däribland multinationella företag och nationella myndigheter.
Microsoft har åtgärdat sårbarheterna i samband med juli månads säkerhetsuppdateringar. Två nya CVE-koder, CVE-2025-53770 och CVE-2025-53771, har tilldelats för de sårbarheter som utnyttjats även i fullt uppdaterade system. Företaget har också släppt akuta säkerhetsuppdateringar för SharePoint Subscription Edition, SharePoint 2019 och SharePoint 2016.
En så kallad proof-of-concept-kod (PoC) för sårbarheten CVE-2025-53770 har nu publicerats på GitHub, vilket gör det möjligt för fler aktörer att utnyttja bristen.
Den amerikanska cybersäkerhetsmyndigheten CISA har lagt till CVE-2025-53770 i sin lista över kända exploaterade sårbarheter. Myndigheten har beordrat federala myndigheter att installera tillgängliga uppdateringar dagen efter att de släpptes.
Enligt CISA gör ToolShell-attacken det möjligt att få åtkomst till system utan autentisering. Angripare kan därefter få tillgång till SharePoint-innehåll, filsystem, interna konfigurationer och exekvera kod över nätverket.
Myndigheten uppger att Microsoft agerar snabbt och att man samarbetar för att informera berörda verksamheter. CISA uppmanar alla organisationer med lokalt installerade SharePoint-servrar att vidta de rekommenderade åtgärderna omedelbart.
Källa:
