Atak zero-day na SharePoint - jak CrowdStrike Falcon wykrywa i blokuje zagrożenia
Sprawdź darmową edukację z cyberbezpieczeństwa ↓
Tagi:  zero-dayzagrożenia

Atak zero-day na SharePoint - jak CrowdStrike Falcon wykrywa i blokuje zagrożenia

18 lipca 2025 r. wykryto falę ataków zero-day na Microsoft SharePoint, wykorzystujących podatności CVE-2025-53770 i CVE-2025-53771 w ramach łańcucha ToolShell. CrowdStrike poinformował o zablokowaniu setek prób eksploatacji w środowiskach klientów. Platforma Falcon, obejmująca CrowdStrike Falcon Insight XDR, CrowdStrike Falcon Exposure Management oraz CrowdStrike Falcon Next-Gen SIEM, umożliwia wykrywanie anomalii procesowych, analizę logów Microsoft IIS i identyfikację podatnych instancji SharePoint, zapewniając wielowarstwową ochronę przed aktywnie wykorzystywanymi lukami.

18 lipca 2025 r. około godziny 07:00 UTC systemy CrowdStrike Falcon Complete Next-Gen MDR oraz CrowdStrike Falcon Adversary OverWatch odnotowały falę prób wykorzystania podatności w Microsoft SharePoint przez niezidentyfikowanego przeciwnika. W tym samym czasie upubliczniono informacje o dwóch odrębnych lukach typu zero-day: krytycznej podatności umożliwiającej zdalne wykonanie kodu (CVE-2025-53770) oraz podatności pozwalającej na podszywanie się pod serwer (CVE-2025-53771). Łańcuch ich wykorzystania do ataku na podatny serwer SharePoint określany jest mianem „ToolShell”.

Od momentu rozpoczęcia kampanii CrowdStrike poinformował o zablokowaniu setek prób wykorzystania tych luk w ponad 160 środowiskach klientów. Skala incydentów wskazuje na szeroki zakres działań atakujących, a jednocześnie na skuteczność zastosowanych mechanizmów ochronnych. Platforma CrowdStrike Falcon wykrywa i chroni przed wykorzystaniem podatności zero-day w Microsoft SharePoint, blokując znane zachowania związane z tymi lukami. W poniższym artykule pokażemy kontekst zagrożenia oraz rekomendacje dla klientów dotyczące zabezpieczenia środowisk z użyciem platformy Falcon. Użytkownicy pakietu CrowdStrike Falcon Adversary Intelligence Premium mogą zapoznać się ze szczegółową analizą w raporcie Intel CSA-250846.

Masowe wykorzystanie CVE-2025-53770: ataki na SharePoint z próbą instalacji webshella i kradzieży kluczy IIS


CrowdStrike poinformował o szeroko zakrojonej kampanii wykorzystującej podatność CVE-2025-53770 w Microsoft SharePoint. Luka jest nadużywana w ataku deserializacyjnym, którego celem jest zapisanie na serwerze złośliwego pliku webshell w formacie .aspx. Plik o nazwie spinstall0.aspx ma służyć do kradzieży kluczy maszynowych IIS, które następnie mogą zostać użyte w dalszych etapach ataku po uzyskaniu dostępu do środowiska.
Scenariusz rozpoczyna się od odpowiednio spreparowanego żądania HTTP POST kierowanego do publicznie dostępnego serwera SharePoint. Zawarty w nim payload podejmuje próbę zapisania pliku .aspx przy użyciu PowerShell. Złośliwe polecenie PowerShell jest uruchamiane z procesu roboczego IIS SharePoint (w3wp.exe), jednak – jak wskazuje CrowdStrike – działanie to jest blokowane przez platformę Falcon.

Rysunek 1. Zablokowany proces PowerShell uruchomiony przez proces roboczy SharePoint w3wp.exe

Analiza danych telemetrycznych z platformy Falcon pozwoliła oszacować skalę i tempo dostarczania złośliwych payloadów. Zaobserwowana oś czasu wygląda następująco:

  • 18 lipca (rano UTC) – odnotowano niewielką liczbę zaatakowanych serwerów SharePoint.
  • 18 lipca (13:30–18:45 UTC) – krótko po upublicznieniu informacji o luce zero-day nastąpiło wyraźne przyspieszenie kampanii; tego dnia zaatakowano łącznie 177 serwerów.
  • 19 lipca (06:00–08:00 UTC) – odnotowano krótkotrwały powrót aktywności, po którym nastąpiła tymczasowa przerwa.
  • 21 lipca (od 07:40 UTC) – ataki zostały wznowione; w ciągu czterech godzin, do 11:30 UTC, celem było 32 serwery.
Rysunek 2. Zaobserwowane przypadki prób wykorzystania serwerów SharePoint w czasie

Obrona przed zagrożeniem


Organizacje powinny niezwłocznie zastosować udostępnione poprawki bezpieczeństwa. Microsoft opublikował zalecenia dla klientów oraz wydał aktualizacje dla następujących wersji:

  • Microsoft SharePoint Server 2019 (Core)
  • Microsoft SharePoint Server Subscription Edition
  • Microsoft SharePoint Enterprise Server 2016
Szybkie wdrożenie poprawek pozostaje kluczowym elementem ograniczania ryzyka skutecznego wykorzystania podatności.

CrowdStrike Falcon Endpoint Detection and Response


Ataki wykorzystujące podatności zero-day w SharePoint bazują na specjalnie spreparowanych żądaniach POST. Rozwiązanie CrowdStrike Falcon Insight XDR identyfikuje i zatrzymuje tego typu działania dzięki mechanizmom analizy behawioralnej, zamiast polegać wyłącznie na sygnaturach zagrożeń.
Schemat ataku zakłada uruchomienie złośliwego kodu w celu przejęcia kluczy uwierzytelniających, co w dalszym etapie pozwala na wykonywanie poleceń systemowych z uprawnieniami. Silnik behawioralny Falcon Insight XDR wychwycił nieprawidłowości w momencie, gdy procesy SharePoint zaczęły inicjować wiersz poleceń oraz skrypty PowerShell, czyli działania odbiegające od standardowego wzorca pracy tego środowiska.
Wielowarstwowy model detekcji umożliwił wykrycie:

  • Anomalii procesowych - nietypowych łańcuchów procesów wywodzących się z usług SharePoint, w tym aktywności charakterystycznej dla webshelli oraz działań rekonesansowych.
  • Nieprawidłowości sieciowych - podejrzanych zapytań DNS generujących alerty w konsoli Falcon.
  • Korelacji behawioralnej - zestawu powiązanych wskaźników wskazujących na złośliwy charakter operacji.
Cyberprzestępcy na bieżąco modyfikują swoje techniki, reagując na działania firm z branży bezpieczeństwa. Zespół badawczy CrowdStrike rozwija mechanizmy detekcji w sposób proaktywny. Wdrażane są dodatkowe reguły behawioralne skoncentrowane na aktywności po skutecznej eksploatacji podatności oraz alternatywnych wektorach ataku, aby zapewnić ciągłość ochrony w obliczu ewoluujących zagrożeń.

CrowdStrike Falcon Exposure Management


Podatności CVE-2025-53770 oraz CVE-2025-53771 są widoczne dla klientów w module zarządzania podatnościami CrowdStrike Falcon Exposure Management. CrowdStrike udostępnił również dedykowany pulpit nawigacyjny, który pozwala szybko zidentyfikować hosty narażone na wykorzystanie tych luk. Pulpit obejmuje analizę zagrożenia opracowaną przez zespół badawczy, szczegółowe dane dotyczące podatnych systemów oraz zestawienie liczby wykrytych podatnych wersji oprogramowania.
Aby skorzystać z gotowego widoku, należy w konsoli przejść do: Exposure Management → Vulnerability Management → Dashboards, a następnie wybrać pulpit poświęcony ToolShell (CVE-2025-53770).

Rysunek 3. Niestandardowy pulpit Falcon Exposure Management pokazujący widoczność CVE-2025-53770

Rysunek 3. Niestandardowy pulpit Falcon Exposure Management pokazujący widoczność CVE-2025-53770
Moduł CrowdStrike Falcon Exposure Management zapewniał mechanizmy detekcji dla wszystkich obsługiwanych platform od chwili publicznego ujawnienia podatności. Obecnie luka posiada ocenę ExPRT.AI na poziomie „Critical” oraz status exploita „Actively Used (Critical)”, co wynika z potwierdzonego aktywnego wykorzystywania jej w rzeczywistych środowiskach.

W celu sprawdzenia, czy infrastruktura zawiera podatne systemy, należy w konsoli przejść do: Exposure Management → Vulnerability Management → Vulnerabilities, a następnie zastosować filtr Vulnerability ID, wpisując „CVE-2025-53770” i/lub „CVE-2025-53771”.

Pojawienie się wyników oznacza, że w środowisku znajdują się podatne hosty. Komunikat „No vulnerabilities found” wskazuje natomiast, że wszystkie zarządzane serwery SharePoint zostały już zaktualizowane i odpowiednio zabezpieczone.

CrowdStrike Falcon Next-Gen SIEM


Ponieważ analizowane luki bezpieczeństwa dotyczą serwera SharePoint, kluczowe znaczenie dla pełnej widoczności incydentów ma analiza logów serwera Microsoft IIS. Ich wczytywanie pozwala dokładnie prześledzić próby wykorzystania podatności oraz powiązaną z nimi aktywność.
Użytkownicy CrowdStrike Falcon Next-Gen SIEM powinni integrować logi IIS z platformą, aby zwiększyć poziom detekcji i szybciej identyfikować potencjalnie złośliwe działania.

Dla klientów dostępny jest gotowy szablon reguły „Microsoft - IIS - Microsoft Sharepoint ToolShell Exploitation CVE-2025-53770”. Wykorzystuje on dedykowane zapytanie służące do wykrywania prób odwołań do złośliwych adresów URL powiązanych z kampanią.

#Vendor="microsoft" #event.module="iis" #event.dataset="iis.access" #repo!="xdr*" | parseUrl(http.request.referrer) | http.request.method="POST" url.path="/_layouts/15/ToolPane.aspx" url.query="DisplayMode=Edit&a=/ToolPane.aspx" http.request.referrer.path="/_layouts/SignOut.aspx" | http.response.status_code =~ in(values=[200,302,401])

Użytkownicy Falcon Next-Gen SIEM mogą również skorzystać z zapytania huntingowego wykorzystującego nowo wprowadzoną funkcję correlate

correlate(    cmd: {        #event_simpleName=ProcessRollup2 event_platform=Win FileName="cmd.exe" ParentBaseFileName="w3wp.exe"          } include: [aid, ComputerName, TargetProcessId, ParentBaseFileName, FileName, CommandLine],    pwsh: {        #event_simpleName=ProcessRollup2 event_platform=Win FileName="powershell.exe"          | aid <=> cmd.aid          | ParentProcessId <=> cmd.TargetProcessId          } include: [aid, ComputerName, TargetProcessId, ParentBaseFileName, FileName, CommandLine],    aspx: {        #event_simpleName=/^(NewScriptWritten|WebScriptFileWritten)$/ event_platform=Win FileName=/\.aspx/i          | aid <=> cmd.aid          | ContextProcessId <=> pwsh.TargetProcessId          } include: [aid, ComputerName, TargetFileName], sequence=true, within=5m)

Podsumowanie


Nadużycia podatności w SharePoint pokazują, że krytyczne luki w aplikacjach biznesowych mogą stać się skutecznym wektorem uzyskania początkowego dostępu do środowiska organizacji. Klienci CrowdStrike korzystają w tym zakresie z wielowarstwowego modelu ochrony, zaprojektowanego z myślą o przeciwdziałaniu zaawansowanym atakom.

Choć priorytetem pozostaje jak najszybsze wdrożenie poprawek dla instancji Microsoft SharePoint, platforma Falcon oferuje szerokie wsparcie w ograniczaniu ryzyka poprzez:

  • CrowdStrike Falcon Insight XDR - wykrywanie oraz blokowanie prób wykorzystania podatności w oparciu o analizę behawioralną,
  • CrowdStrike Falcon Exposure Management - zapewnienie widoczności podatnych instancji SharePoint w środowisku,
  • CrowdStrike Falcon Next-Gen SIEM - reguły detekcyjne dla logów Microsoft IIS umożliwiające identyfikację prób eksploatacji.
Firma zapowiada dalsze monitorowanie sytuacji oraz aktualizowanie rekomendacji wraz z pojawianiem się nowych informacji o zagrożeniu.

Marketing Specialist
Autor artykułu
Marketing Specialist
Oceń blog:
Czas czytania: 13 min
Data: 18.02.2026

Terminarz

prev

next

Lista najbliższych webinariów

25.06.2026
10:00 [ON-DEMAND] OXARI ITSM w praktyce – Service Desk, CMDB i automatyzacja procesów IT w jednej platformie PREMIERA 17.06.2026
[ON-DEMAND] OXARI ITSM w praktyce – Service Desk, CMDB i automatyzacja procesów IT w jednej platformie PREMIERA 17.06.2026
29.06.2026
10:00 PODCAST Włam się w Temat - Scroll, hejt, uzależnienie - dlaczego dzieci potrzebują cyfrowej ochrony? Gość: Mikołaj Sołtysik PREMIERA 29.06.2026
PODCAST Włam się w Temat - Scroll, hejt, uzależnienie - dlaczego dzieci potrzebują cyfrowej ochrony? Gość: Mikołaj Sołtysik PREMIERA 29.06.2026
22.09.2026
10:00 Szkolenie: cyberbezpieczeństwo dla pracowników biurowych
Szkolenie: cyberbezpieczeństwo dla pracowników biurowych
24.11.2026
09:00 Autoryzowane szkolenie dotyczące konfiguracji i administracji rozwiązaniami WatchGuard
Autoryzowane szkolenie dotyczące konfiguracji i administracji rozwiązaniami WatchGuard
newsletter
Chcesz wiedzieć więcej? Zapisz się na Newsletter i otrzymuj najnowsze informacje

Zobacz inne wpisy

Wiedza i świadomość na temat aktualnych cyberzagrożeń to podstawa dobrej taktyki bezpieczeństwa. Chcesz być na bieżąco z wydarzeniami ze świata cybersecurity? A może szukasz wskazówek jak zapewnić wyższy poziom cyberbezpieczeństwa w swojej firmie? Chcesz poznać topowe rozwiązania? Dobrze trafiłeś.

zobacz wszystkie wpisy
case study: Jeden panel zamiast pięciu osobnych narzędzi. Case study firmy Euro Steel Endpoint Detection and Response (EDR)

case study: Jeden panel zamiast pięciu osobnych narzędzi. Case study firmy Euro Steel

Czytaj więcej
case study: Bez tego poziomu zabezpieczeń nie dostaliby kontraktu. Historia firmy Drainline Next Generation Firewall (NGFW)

case study: Bez tego poziomu zabezpieczeń nie dostaliby kontraktu. Historia firmy Drainline

Czytaj więcej
WatchGuard MDR - co to jest i który wariant wybrać? Managed Detection and Response (MDR)

WatchGuard MDR - co to jest i który wariant wybrać?

Czytaj więcej
WatchGuard Endpoint Security: co się zmieniło w WatchGuard 2026 Endpoint Detection and Response (EDR)

WatchGuard Endpoint Security: co się zmieniło w WatchGuard 2026

Czytaj więcej
Uczniowie w świecie sztucznej inteligencji, czyli między genialnym wsparciem a pułapką bezmyślności Usługi i szkolenia

Uczniowie w świecie sztucznej inteligencji, czyli między genialnym wsparciem a pułapką bezmyślności

Czytaj więcej
CrowdStrike Falcon Enterprise VELOCITY

CrowdStrike Falcon Enterprise VELOCITY

Velocity Falcon Enterprise to gotowy pakiet bezpieczeństwa oparty na technologii Falcon Enterprise, rozszerzający ochronę endpointów o EDR/XDR i threat hunting.

Wycena indywidualna
Zobacz więcej
CrowdStrike Falcon Go VELOCITY

CrowdStrike Falcon Go VELOCITY

Velocity Falcon Go to gotowy pakiet ochrony endpointów oparty na NGAV, rozszerzony o kontrolę urządzeń i uproszczone zarządzanie w modelu cloud.

Wycena indywidualna
Zobacz więcej
CrowdStrike Falcon COMPLETE

CrowdStrike Falcon COMPLETE

Falcon Complete to w pełni zarządzana usługa MDR, w której CrowdStrike odpowiada za wykrywanie, analizę i reakcję na incydenty bezpieczeństwa.

Wycena indywidualna
Zobacz więcej