Threat Analysis: ToolShell Zero-Day in Microsoft SharePoint – und wie unser SIEM schützt

Ende Juli 2024 wurde eine Zero-Day-Schwachstelle in Microsoft SharePoint bekannt, die unter dem Namen ToolShell diskutiert wird. Angreifer nutzten gezielt die URL-Struktur /_layouts/15/ToolPane.aspx, um über Deserialisierungsfehler Schadcode einzuschleusen. Im Anschluss platzierten sie eine Webshell als .aspx-Datei im SharePoint-Verzeichnis — für dauerhaften Zugriff.

Die Angriffskette im Detail

Der Angriff folgt einem typischen Muster für Exploits auf Collaboration-Plattformen:

1. Initialer Exploit über den fehlerhaften ToolPane-Endpoint — ein Deserialisierungsfehler ermöglicht Remote Code Execution
2. Webshell-Deployment: Eine .aspx-Datei wird ins SharePoint-Webroot geschrieben (_layouts/15/ oder App_Data)
3. Post-Exploitation: Aus dem IIS-Worker-Prozess w3wp.exe heraus werden PowerShell-Befehle ausgeführt — häufig Base64-kodiert, um Detection zu umgehen
4. Persistenz: Zugriff auf Kryptografie-Keys ermöglicht dauerhafte Backdoors, die auch nach einem Neustart bestehen bleiben

Patch-Status und Workarounds

Microsoft hat Sicherheitsupdates für SharePoint 2019 und die Subscription Edition bereitgestellt. Für ältere Versionen wie SharePoint 2016 gelten gesonderte Workarounds. CISA und mehrere Security-Firmen haben Indicators of Compromise (IOCs) und TTP-Beschreibungen veröffentlicht.

Die gute Nachricht: Auch ohne sofortigen Patch lassen sich die Aktivitäten des Angriffs über Logs und Verhaltensanalyse erkennen.

Erkennungsmuster für SIEM-Monitoring

ToolShell hinterlässt charakteristische Spuren, die ein SIEM mit den richtigen Regeln zuverlässig erkennt:

• IIS-Logs: Zugriffe auf /_layouts/15/ToolPane.aspx mit verdächtigen Parametern — insbesondere POST-Requests mit ungewöhnlichen Payloads
• File Integrity Monitoring (FIM): Neue .aspx-Dateien in SharePoint-Verzeichnissen, die nicht durch reguläre Deployments erstellt wurden
• Prozessüberwachung: w3wp.exe startet powershell.exe oder cmd.exe — ein klarer Indikator für Post-Exploitation. Besonders verdächtig: Parameter wie -EncodedCommand oder FromBase64String
• Netzwerk-Anomalien: Ausgehende Verbindungen des IIS-Workers zu externen IPs unmittelbar nach Dateiänderungen im Webroot

SharePoint als Angriffsfläche

SharePoint ist in vielen Unternehmen ein zentraler Knotenpunkt: Dokumentenmanagement, Intranet, Workflow-Automatisierung und Collaboration laufen über die Plattform. Ein kompromittierter SharePoint-Server bietet Angreifern Zugang zu internen Dokumenten, Zugangsdaten und lateraler Bewegung ins Unternehmensnetz.

Die Kombination aus hoher Verbreitung, komplexer Konfiguration und häufig verzögertem Patching macht SharePoint zu einem wiederkehrenden Ziel. Frühere kritische Schwachstellen wie CVE-2023-29357 (Privilege Escalation) und CVE-2024-38094 (RCE) zeigen das Muster.

Handlungsempfehlungen

• Sofort patchen: SharePoint auf die aktuelle gepatchte Version aktualisieren — insbesondere SharePoint 2019 und Subscription Edition
• IIS-Logs in SIEM einbinden: Zugriffe auf bekannte Exploit-Pfade überwachen und alarmieren
• File Integrity Monitoring aktivieren: Neue Dateien in SharePoint-Verzeichnissen müssen erkannt und bewertet werden
• Prozessbaseline erstellen: Definieren, welche Prozesse w3wp.exe normalerweise startet — alles andere ist ein Alarm
• Compromise Assessment: Wenn SharePoint vor dem Patch aus dem Internet erreichbar war, auf Webshells und Backdoors prüfen