The Microsoft SharePoint ToolShell breach 2025 shows how quickly an exploit can move from public disclosure to mass exploitation, even after patches are released. Read the full case study: drupalfit.com/article/micros… #security #Microsoft #securityaudit #websitesecurity

ノーコード/AI型のWebアプリ作成サービス「Softr」を悪用し、Microsoft-Exchange／OWA向けの認証情報窃取ページが生成されていた事例について。攻撃者は同サービスのフォームテンプレートと「vibeコーディング」機能を使えば、わずかなAIプロンプトとノーコード操作だけで偽ログインページを構築可能との報告。Softrで作られたフィッシングページは窃取データをGoogleSheets等の使い捨て外部ストアに送信でき、新規取得時のメール通知までコードを書かずに設定可能。特定のAIツール悪用がIR事例で文書化されたのは初とされ、フィッシングは初期アクセスが特定できた事案の3割超を占めて首位に復帰したと報告されています。 【要点の整理】 ・初期アクセスは「フィッシング」が3割超で首位復帰。Q2 2025以来の返り咲き。前期まで首位だったインターネット公開アプリ悪用は62%から18%に低下。ToolShell（オンプレ版SharePointの脆弱性群）への緊急パッチと検知強化で収束したとの見解 ・Softrは正規のノーコード/AI型Webアプリ作成サービス。AIツールが低スキル攻撃者の参入障壁を下げ、フィッシング/クレデンシャル窃取の速度を加速させる側面が示されたとのこと。攻撃者によるSoftr悪用自体はCisco_Umbrellaデータ等に基づき2023年5月以降を中程度の確度で観測しており、頻度も増加傾向との説明 ・新興脅迫グループ「Crimson_Collective」の初対応事例。公開Webサイトに誤って公開されたGitHub_PAT（個人アクセストークン）が数か月放置されていた点が侵入起点。攻撃者は正規のシークレット探索ツール「TruffleHog」で被害組織の数千リポジトリをスキャンし、約2,500件のクライアントシークレット等を窃取 ・続いてMicrosoft_Graph_APIでAzureクラウドストレージへ認証・列挙・流出を実施。複数のGitHubリポジトリに将来コミットされるシークレットを攻撃者インフラへ送信する悪意あるコード注入も試行されたが、対象シークレットの期限切れと既存統制で大半は阻止されたとされる ・Rhysidaランサムウェア事案では、Gootloaderと関連が指摘される珍しいバックドア「MeowBackConn」に関連している可能性が高いと評価されたプロキシ系DLL（『meow_eu[.]dll』など）を観測。露出したWinRM管理ポート、過剰権限のサービスアカウント、ログ取得の不備が侵入を許す要因になったとの説明 ・行政機関と医療が標的業界トップで並び、各24%。行政機関は3四半期連続で最多標的 ・主な推奨対策として、MFAの適切な実装（セルフサービスのMFA登録制限と集中型の認証ポリシー徹底）、パッチ管理の徹底（CVE-2025-20393／CVE-2023-20198等が悪用観測）、SIEM導入による集中ログ取得 ─ の3点をTalos_IRが推奨 詳細は以下を参照： blog.talosintelligence.com/i…

Serious vulnerabilities now get exploited within 24–48 hours of disclosure. Some forecasts say minutes by 2028. During the SharePoint ToolShell zero-day, thousands of servers were still exposed to the internet — many unnecessarily. 🔗 Why attack surface exposure gets missed → thehackernews.com/2026/03/th…

【攻撃インフラ・SIEM悪用】攻撃者がElastic Cloud無料トライアルを悪用、被害者トリアージ用SIEMとして運用 Huntressは、SolarWinds Web Help Deskなどの脆弱性を悪用した攻撃者が、窃取したデータをElastic Cloudの無料トライアルインスタンスに送信していたことを発見した。攻撃者はこのSIEMを被害者のトリアージに使用していた。 攻撃者はエンコードされたPowerShellコマンドでGet-ComputerInfoを実行し、OS情報、ハードウェア詳細、Active Directoryドメイン情報、パッチ情報などをハードコードされたAPIキーでElasticSearchインデックスに送信していた。これはVelociraptorなどのDFIRツールをC2に悪用する手法の延長線上にあるが、Elastic CloudをC2に使用した例は初めてである。 Elasticデプロイメントは2026年1月28日にGCPのus-central1リージョンで作成され、登録にはquieresmail[.]comドメインの使い捨てメールが使用された。これはロシア登録の一時メールサービスfirstmail.ltdネットワークの一部と見られる。興味深いことに、同じランダム文字列がCloudflare Workerのサブドメインにも使用されており、攻撃者はこれをインフラ識別子として扱っていた可能性がある。 管理者ログインは2つのIPアドレスから行われ、これらはSAFING VPNトンネル経由と判明した。後者のIPはUnit 42がMicrosoft SharePoint攻撃で観測したものと一致する。systeminfインデックスには約216の一意な被害者ホストが含まれ、91%がサーバーで、政府機関、高等教育機関、金融サービス、製造業など37の異なるタイムゾーンにまたがる被害が確認された。攻撃者はGladinet CentreStack、SmarterMail、ToolShellなど複数の高深刻度脆弱性を日和見的に悪用していた。 huntress.com/blog/threat-act…

A Deep Dive Into Warlock Ransomware Deployed Via ToolShell SharePoint Chained Vulnerabilities #WarlockRansomware #SharePointVulnerabilities #MalwareAnalysis #DefenseEvasion #HybridEncryption hybrid-analysis.blogspot.com…

"In 2025, the activity varied by region and objective. In the Americas, attackers invested in high-value targets, including early ToolShell exploitation assessed as Chinese-nexus activity against North American government organizations."

2025 has seen many great web security findings. Honored that @_l0gg's SharePoint ToolShell pre-auth RCE (CVE-2025-53770) is nominated for @PortSwigger Top 10 Web Hacking Techniques 2025. If you're in the community, your vote would mean a lot: portswigger.net/polls/top-10… Thanks!

SharePointのゼロデイ脆弱性ToolShellを悪用したサイバー攻撃 eset-info.canon-its.jp/malwa… ESET社は、マイクロソフト社のSharePoint Serverに存在するゼロデイ脆弱性「ToolShell」を悪用したサイバー攻撃を解析しました。その詳細について解説します。 #キヤノンMJ #セキュリティ #ESET

I know it's a little bit late, but here is my go on the ToolShell vulns: github.com/LuemmelSec/ToolSh… However, this tool is also capable of giving you an interactive shell without file writes if you have the Machine keys, so not just useful for exploiting ToolShell alone.

🚨 The top #CVEs of #2025 weren’t just severe - they were exploited fast. From #React2Shell to #ToolShell & #CitrixBleed2, attackers weaponized flaws before many orgs could #patch. 📊 socradar.io/blog/top-10-cves…

A Deep Dive Into Warlock Ransomware Deployed Via ToolShell SharePoint Chained Vulnerabilities hybrid-analysis.blogspot.com…

Slides for "ToolShell Patch Bypass and the AI That Might Have Seen It Coming" at @NDC_Conferences {Manchester} 2025. github.com/irsdl/sharepoint-… Bonus: WAF & workarounds bypass! #AppSec #SharePoint #TolShell

Actor Exploiting ToolShell Vulnerability (SharePoint CVE-2025-53770) AS 213799 ( Conhost Bilgi Teknolojileri Veri Merkezi Hizmetleri Ve Danismanlik Limited Sirketi ) 🇹🇷 0/95 Detections on VT 🟢 Link 👇console.defusedcyber.com/s/9…

Second part of a two-part @HuntressLabs blog series is here, which looks at several incidents where the threat actor used the Velociraptor DFIR tool - featuring ToolShell, Warlock ransomware, and a series of attacker fumbles. @darkrym11 huntress.com/blog/velocirapt…

#DFIR #Blue_Team_Techniques #Purple_Team_Exercises 1⃣ Hunting for SharePoint In-Memory ToolShell Payloads (CVE-2025-53770, CVE-2025-53771) isc.sans.edu/diary/Guest Dia… // A walk-through showing how to analyze ToolShell payloads, starting with acquiring packets all the way to decoding embedded PowerShell commands 2⃣ Bind Link - EDR Tampering ipurple.team/2025/12/01/bind… // Threat actors exploit Windows Bind Link API to redirect EDR folders, enabling DLL hijacking and evasion, which can be detected through monitoring bindfltapi.dll loads, API calls, and leveraging EDR solutions' monitoring capabilities

Since we're covering this tomorrow at @NDC_Conferences Manchester, I’ve released the bypass for the ToolShell SharePoint deserialization exploit in ysonet.net (same bug @_l0gg originally showed). “Complex” bypass? 🥵 Just a single whitespace. 👻 Something we even knew from the past: zerodayinitiative.com/blog/2…😶‍🌫️

新報告：SharePointのToolShell脆弱性 (CVE-2025-53770/53771) を狙い、Webシェルではなくインメモリ実行型ペイロードが使われている。ネットワークログ＆PCAPでのハンティング必須。#SharePoint #ToolShell #SANSISC isc.sans.edu/diary/32524

SANS Stormcast Tuesday, December 2nd, 2025: Analyzing ToolShell from Packets; Android Update; Long Game Malicious Browser Ext. isc.sans.edu/podcastdetail/9…

[Guest Diary] Hunting for SharePoint In-Memory ToolShell Payloads isc.sans.edu/diary/32524