Was war
Ende Juli 2024 wurde eine neue Zero-Day-Schwachstelle in Microsoft SharePoint bekannt, die unter dem Namen „ToolShell“ diskutiert wird. Angreifer nutzten gezielt die URL-Struktur /_layouts/15/ToolPane.aspx, um über Deserialisierungsfehler Schadcode einzuschleusen. Im Anschluss wurde häufig eine Webshell als .aspx-Datei im SharePoint-Verzeichnis platziert, die den Angreifern dauerhaften Zugriff ermöglichte.
Die Angriffskette ist typisch für moderne Exploits auf Collaboration-Plattformen:
- Initialer Exploit über eine fehlerhafte Serverkomponente
- Dropping einer Webshell ins Webroot
- Post-Exploitation mit PowerShell, oft Base64-kodiert aus dem Prozess
w3wp.exe (IIS-Worker) heraus
- Zugriff auf Kryptografie-Keys und damit persistente Backdoors
Was ist
Microsoft hat zwischenzeitlich Sicherheitsupdates für SharePoint 2019 und die Subscription Edition bereitgestellt, für ältere Versionen (z. B. 2016) gelten gesonderte Workarounds. CISA sowie mehrere Security-Firmen haben Indicators of Compromise (IOCs) und TTP-Beschreibungen veröffentlicht.
Die Besonderheit: Auch ohne direkten Patch lassen sich die Aktivitäten des Angriffs sehr gut über Logs und Verhaltennachvollziehen. So fallen u. a. auf:
Ausgehende Netzwerkverbindungen des IIS-Workers unmittelbar nach Dateiänderungen
Zugriffe auf /_layouts/15/ToolPane.aspx in den IIS-Logs
Neue .aspx-Dateien im Webroot (\_layouts\15\, App_Data)
w3wp.exe → powershell.exe mit -EncodedCommand
