SharePoint tizimlarida yangi “ToolShell” zaifligi aniqlanib, ommaviy ekspluatatsiya qilinmoqda

🔐 So‘nggi kunlarda kiberxavfsizlik sohasida jiddiy xavotir uyg‘otgan hodisa ro‘y berdi: Microsoft SharePoint serverlariga qarshi ilgari noma’lum bo‘lgan, endilikda esa “ToolShell” deb nom olgan yangi zaifliklar zanjiri orqali keng ko‘lamli hujumlar amalga oshirilmoqda. Bu tahdid natijasida xakerlar hech qanday autentifikatsiyasiz, to‘liq server boshqaruvini qo‘lga kiritmoqda.

Niderlandiyaning Eye Security firmasi 2025-yil 18-iyul sanasida bu zaiflik faol ekspluatatsiya qilinayotganini aniqlab, xavfsizlik sohasidagi mutaxassislarni ogohlantirdi. Ularning tadqiqotlariga ko‘ra, bu holat — zaiflik haqidagi ma’lumotlar ommaga e’lon qilingandan atigi 72 soat ichida global miqyosdagi hujumlarga sabab bo‘lgan — bu juda kam uchraydigan holatdir.

🔍 Asosiy jihatlar:

1. CVE-2025-49706 va CVE-2025-49704 zaifliklari orqali SharePoint serverlari to‘liq boshqaruv ostiga olinmoqda.
2. Hujumchilar serverdan maxfiy ValidationKey va DecryptionKey kalitlarini o‘g‘irlab, tizimga doimiy orqa eshik (backdoor) o‘rnatmoqda.
3. Favqulodda patch (zudlik bilan yangilanish) zarur, ammo yangilanish mavjud xakerlarni tizimdan chiqarib yubormaydi.

Ushbu zaifliklar ilk bor 2025-yil may oyida Berlinda bo‘lib o‘tgan Pwn2Own musobaqasida Germaniyaning CODE WHITE kompaniyasi tomonidan namoyish etilgan. 2025-yil 15-iyulda Microsoft ushbu muammolarni yamaqlovchi patch chiqarishi bilan bir vaqtda, tadqiqotchilar ekspluatatsiya tafsilotlarini ochiq ijtimoiy tarmoqlarda ulashdi.

Shundan bor-yo‘g‘i uch kun o‘tib, tajribali tahdid aktyorlari bu ekspluatni avtomatlashtirgan holda keng ko‘lamda hujumlarni boshlashdi. Dastlabki hujumlar 2025-yil 18-iyulda, Markaziy Yevropa vaqti bilan 18:00 atrofida 107.191.58.76 IP manzilidan boshlangan. Ertasi kuni esa 104.238.159.149 IP orqali ikkinchi to‘lqin kuzatildi, bu esa hujumlar global va muvofiqlashtirilganligini ko‘rsatadi.

Zaiflik /_layouts/15/ToolPane.aspx sahifasidagi SharePoint ichki konfiguratsiyasiga asoslangan. Xavfsizlik tadqiqotchilari ta’kidlashicha, bu oddiy veb-shell emas. Bu ekspluat, SharePoint serverining o‘z ichki ishonchini aldash orqali ishlaydi. Maxfiy kalitlar o‘g‘irlangach, hujumchilar to‘liq yaroqli __VIEWSTATE ma’lumotlarini yaratib, u orqali serverda xohlagancha kod bajarish imkoniyatiga ega bo‘lishadi — hech qanday foydalanuvchi parolisiz.

Bu texnika, ilgari 2021-yilda aniqlangan CVE-2021-28474 zaifligiga o‘xshash bo‘lib, SharePoint’ning deserializatsiya va sahifa rendering (kontrolni yaratish) tizimlaridan ustalik bilan foydalanadi.

Eye Security o‘tkazgan monitoring natijasida mingdan ortiq SharePoint serverlari orasida o‘nlab holatlarda xakerlar allaqachon tizimga kirib olgani aniqlandi. Ayni vaqtda kompaniya barcha zararlangan tashkilotlar va Yevropa hamda boshqa mintaqaviy CERT (Computer Emergency Response Team) guruhlariga favqulodda bildirish yubordi.

✅ Tavsiyalar:

🔧 Microsoft tomonidan chiqarilgan patch darhol o‘rnatilishi lozim.
🔍 Tizimlar chuqur skanerlab, maxsus __VIEWSTATE hujum izlari yoki notanish veb-shell faoliyatlari tekshirilsin.
🔒 Hujumchilarni tizimdan chiqarish uchun qo‘shimcha xavfsizlik tekshiruvlari va audit loglari tahlil qilinsin.

“ToolShell” tahdidi nafaqat texnik, balki strategik jihatdan ham jiddiy xavf tug‘diradi. U oddiy zaiflikdan ekspluatatsiya vositasiga aylangan holatda, SharePoint’ning o‘ziga xos mexanizmlarini “qurol” sifatida ishlatmoqda. Har qanday tashkilot ushbu tahdidni eng yuqori xavf darajasida baholashi va shoshilinch choralar ko‘rishi zarur.