{"id":52699,"date":"2025-07-24T11:46:27","date_gmt":"2025-07-24T19:46:27","guid":{"rendered":"https:\/\/www.sumologic.com\/blog\/sharepoint-toolshell-zero-day"},"modified":"2026-02-25T04:26:35","modified_gmt":"2026-02-25T12:26:35","slug":"investigate-sharepoint-toolshell","status":"publish","type":"blog","link":"https:\/\/www.sumologic.com\/de\/blog\/investigate-sharepoint-toolshell","title":{"rendered":"SharePoint \u201eToolShell\u201c Zero-Day"},"content":{"rendered":"\n
\n
\n
\n
\n
\"Sumo<\/figure>\n<\/div>\n\n\n

<\/p>\n\n\n\n

Hut ab vor der gro\u00dfartigen Arbeit, die die Community und die Branche in Bezug auf den \u201eToolShell\u201c-Angriff auf Microsofts On-Premise SharePoint-Server geleistet haben. Ziel dieses Artikels ist es, auf dieser gro\u00dfartigen Arbeit aufzubauen und Sumo Logic-Kunden mit On-Prem-SharePoint-Servern zu helfen, Beweise in ihren Umgebungen zu untersuchen und zu identifizieren. <\/p>\n\n\n\n

Eine kurze Zusammenfassung der Ereignisse<\/h2>\n\n\n\n

Am 18. Juli 2025 identifizierte Eye Security1 einen Angriff auf lokale SharePoint-Server, bei dem eine verd\u00e4chtige .aspx-Datei geschrieben und digitale Machine Keys extrahiert wurden. Die Analyse der Angriffskette deckte ein Schwachstellenpaar auf, das im Zusammenhang mit einem fr\u00fcheren Schwachstellenpaar und den von Microsoft daf\u00fcr ver\u00f6ffentlichten Patches steht.\u00a0<\/p>\n\n\n\n

Die Angreifer wurden dabei beobachtet, wie sie zwei Schwachstellen, eine kritische Schwachstelle f\u00fcr die Ausf\u00fchrung von Remotecode (CVE-2025-53770<\/a>) und eine Server-Spoofing-Schwachstelle (CVE-2025-53771<\/a>) gegen On-Prem-SharePoint Server (2013, 2016, 2019 und Subscription Edition) ausnutzten, um eine Webshell mit dem Ziel einzusetzen, Zugriff auf die digitalen Machine Keys des Servers zu erhalten.<\/p>\n\n\n\n

Am 19. Juli 2025\u00a0ver\u00f6ffentlichte Microsoft einen Notfall-Out-of-Band-Patch f\u00fcr SharePoint-Server<\/a> sowie eine Anleitung f\u00fcr Kunden mit einem MSRC-Blogbeitrag \u00fcber das Patchen der SharePoint-Server, das Rotieren der ASP.NET-Machine Keys der SharePoint-Server und zus\u00e4tzliche Empfehlungen zur Erkennung und Suche.<\/p>\n\n\n\n

Beginnen wir mit der Jagd und Erkennung in Sumo Logic:<\/h2>\n\n\n\n

Wenn wir den Angriff in seine Bestandteile zerlegen, k\u00f6nnen wir die Suche und die Erkennung durch Cloud-SIEM verbessern.\u00a0<\/p>\n\n\n\n

Lassen Sie uns ein Beispiel f\u00fcr die Suche nach den Rohprotokollen in der Umgebung eines Kunden mit der Sumo Logic-Plattform und den normalisierten Datens\u00e4tzen aus dem Sumo Logic Cloud SIEM verwenden.<\/p>\n\n\n\n

Zum Start der Exploit-Kette beginnt der Initialzugriff mit einem POST-Vorgang an die ToolPane.aspx, der sich in den Logs durch ein charakteristisches URI-Muster identifizieren l\u00e4sst. Diese Stub-Queries erm\u00f6glichen es, nach Versuchen zu suchen, auf diese Weise mit SharePoint zu interagieren.<\/p>\n\n\n\n_sourceCategory=prod\/web\/iis \"ToolPane\"| parse \"* * * * * * * * * * * * * * *\" as date time cs-method cs-uri-stem cs-uri-query s-port cs-username c-ip cs(User-Agent) sc-status sc-substatus sc-win32-status time-taken| where cs-method matches \"POST\"\u00a0\u00a0\u00a0\u00a0AND cs-uri-stem matches \"*\/_layouts\/*\/ToolPane.aspx*\"<\/code>\n\n\n\n

<\/p>\n\n\n\n

Cloud-SIEM-Datensatzsuche:<\/p>\n\n\n\n_index=sec_record_network \"ToolPane\"| where http_method matches \"POST\"\u00a0\u00a0\u00a0\u00a0AND %\"fields.cs-uri-stem\" matches \"*\/_layouts\/*\/ToolPane.aspx*\"\u00a0\u00a0\u00a0AND http_referer_path matches \"\/_layouts\/SignOut.aspx\"<\/code>\n\n\n\n

<\/p>\n\n\n\n

Der http_referrer_path = \/_layouts\/SignOut.aspx<\/code> ist ein weiterer wichtiger Aspekt der Exploit-Kette, da der gef\u00e4lschte Referrer eine Umgehung der Authentifizierungskontrollen erm\u00f6glicht.<\/p>\n\n\n\n

Hier ist eine Suche nach dem zentralen b\u00f6sartigen Element dieser Angriffskette \u2013 der Webshell, die die Angreifer genutzt haben, um Machine Keys und weitere Ziele vom kompromittierten SharePoint-Server zu extrahieren.<\/p>\n\n\n\n

Sumo Logic-Suche:<\/p>\n\n\n\n_sourceCategory=prod\/web\/iis| parse \"* * * * * * * * * * * * * * *\" as date time cs-method cs-uri-stem cs-uri-query s-port cs-username c-ip cs(User-Agent) sc-status sc-substatus sc-win32-status time-taken| where cs-uri-stem matches \/spinstall\\S?\\.aspx\/\u00a0\u00a0\u00a0\u00a0AND cs-method = \"GET\"<\/code>\n\n\n\n

<\/p>\n\n\n\n

Cloud-SIEM-Datensatzsuche:<\/p>\n\n\n\n_index=sec_record_network \"aspx\"| where http_method = \"GET\"\u00a0\u00a0\u00a0\u00a0AND %\"fields.cs-uri-stem\" matches \/spinstall\\S?\\.aspx\/<\/code>\n\n\n\n

<\/p>\n\n\n\n

Die obige Webshell erm\u00f6glicht es Angreifern, Ziele auf dem Zielserver auszuf\u00fchren. Diese Aktivit\u00e4t wird von Analysten als wichtige und erkennbare Verhaltensabweichung f\u00fcr SharePoint-Server bezeichnet.<\/p>\n\n\n\n

Zun\u00e4chst suchen wir nach w3wp.exe<\/code> als Parent-Prozess f\u00fcr einen cmd.exe-Prozess. Die Ergebnisse dieser Suche werden f\u00fcr nachfolgende Suchen nach PowerShell-Ausf\u00fchrungen und im Zusammenhang mit diesen Angriffs-Webshell-.aspx-Dateien verwendet.<\/p>\n\n\n\n

Sumo Logic-Suche:<\/p>\n\n\n\n_sourceCategory=windows_event_logs| json field=_raw \"EventData.CommandLine\" as commandLine| json field=_raw \"Computer\"| json field=_raw \"EventData.ParentImage\" as parentImage| json field=_raw \"EventData.Image\" as image| where toLowerCase(Image) matches \"*cmd.exe\"\u00a0\u00a0\u00a0AND toLowerCase(parentImage) matches \"*w3wp.exe\"| count by Computer,parentImage,image,commandLine<\/code>\n\n\n\n

<\/p>\n\n\n\n

Cloud-SIEM-Datensatzsuche:<\/p>\n\n\n\n_index=sec_record_endpoint\u00a0| where toLowerCase(parentBaseImage) matches \"*w3wp.exe\"\u00a0\u00a0\u00a0\u00a0AND toLowerCase(baseImage) matches \"*cmd.exe\"| count by device_hostname,parentBaseImage,baseImage,commandLine<\/code>\n\n\n\n

<\/p>\n\n\n\n

Cloud-SIEM-Tipp: Verwenden Sie die obigen Abfragen, um Hosts zu finden, die eine genauere Betrachtung (und einen h\u00f6heren Schweregrad im SIEM-Alerting) verdienen.<\/p>\n\n\n\n

Mit Match Lists, einer hilfreichen Funktion f\u00fcr Cloud-SIEM-Kunden, k\u00f6nnen Sie den normalisierten Datens\u00e4tzen Metadaten hinzuf\u00fcgen. Dies ist auch hilfreich, um den \u00dcberblick \u00fcber sensible Ger\u00e4te zu behalten, damit Sie schnell nach Datens\u00e4tzen suchen k\u00f6nnen. Zus\u00e4tzlich gibt es die Funktionalit\u00e4t der Entit\u00e4tskennzeichnung und der Entit\u00e4tskritikalit\u00e4t. Die Kritikalit\u00e4t erh\u00f6ht den Schweregrad der Signale f\u00fcr diese bestimmte Entit\u00e4t.\u00a0<\/p>\n\n\n\n

Alle diese Funktionen zusammen erm\u00f6glichen: die schnelle Identifizierung von SharePoint-Servern in Ihrer Umgebung bei der Suche nach Datens\u00e4tzen (Match-Listen) und die Kennzeichnung der SharePoint-Server zur Erh\u00f6hung der Entity-Kritikalit\u00e4t, um sicherzustellen, dass Signale und Insights innerhalb des Sumo Logic Cloud SIEM erstellt werden.<\/p>\n\n\n\n

Zweitens: PowerShell-Ausf\u00fchrung unter Verwendung der oben genannten Hosts.<\/p>\n\n\n\n

Sumo Logic-Suche:<\/p>\n\n\n\n_sourceCategory=windows_event_logs| json field=_raw \"Computer\"| json field=_raw \"EventData.ParentImage\" as parentImage| json field=_raw \"EventData.Image\" as image| where Computer IN (\"[Liste der Hosts oben einf\u00fcgen]\",\"...\")\u00a0\u00a0\u00a0\u00a0AND toLowerCase(image) matches \"*powershell.exe\"<\/code>\n\n\n\n

<\/p>\n\n\n\n

Cloud-SIEM-Datensatzsuche:<\/p>\n\n\n\n_index=sec_record_endpoint\u00a0| where device_hostname IN (\"[Liste der Hosts oben einf\u00fcgen]\",\"...\")\u00a0\u00a0\u00a0\u00a0AND toLowerCase(baseImage) matches \"*powershell.exe\"<\/code>\n\n\n\n

<\/p>\n\n\n\n

Ein Vorbehalt bei dieser Suche: PowerShell kann auf mehrere Arten \u00fcber die Befehlszeile aufgerufen werden. Dies ist eine M\u00f6glichkeit und die Art, die im Referenzmaterial zu diesem Angriff beschrieben wird. Es wird empfohlen, diese und andere Rechner, die sich m\u00f6glicherweise im Wirkungsradius dieses Angriffs befinden, gr\u00fcndlich zu untersuchen, sofern es die Zeit und der Vorfall erlauben.<\/p>\n\n\n\n

Der dritte Schritt im Prozess: das Schreiben der Webshell in das Dateisystem auf Hosts im Netzwerk.<\/p>\n\n\n\n

Sumo Logic-Suche:<\/p>\n\n\n\n\"aspx\"| json field=_raw \"EventData.TargetFilename\" as targetFilename nodrop| json field=_raw \"EventData.CommandLine\" as commandLine nodrop| json field=_raw \"Computer\" nodrop| json field=_raw \"EventData.ParentImage\" as parentImage nodrop| json field=_raw \"EventData.Image\" as image nodrop| where toLowerCase(targetFilename) contains \"aspx\"<\/code>\n\n\n\n

<\/p>\n\n\n\n

Cloud-SIEM-Datensatzsuche:<\/p>\n\n\n\n_index=sec_record_endpoint aspx| where baseImage matches \"*powershell.exe\"\u00a0\u00a0\u00a0\u00a0\u00a0AND changeTarget contains \"aspx\"<\/code>\n\n\n\n

<\/p>\n\n\n\n

[Bonus-Inhalt] Eine Abwandlung der obigen Suche, um nach m\u00f6glichen anderen Quellen von .aspx-Dateien zu suchen, die in Endpunkt-Datens\u00e4tzen geschrieben werden.<\/p>\n\n\n\n

Cloud-SIEM-Datensatzsuche:<\/p>\n\n\n\n_index=sec_record_endpoint aspx| where changeTarget contains \"aspx\"<\/code>\n\n\n\n

<\/p>\n\n\n\n

Dies identifiziert die Erstellung von .aspx-Dateien<\/code> innerhalb normalisierter Endpunktdatens\u00e4tze; es ist jedoch nicht darauf beschr\u00e4nkt, dass PowerShell diese Dateien schreibt. Denken Sie daran, dass es sich hierbei um eine Hunting-Analyse handelt, die eher f\u00fcr eine sehr spezifische Erkundung als f\u00fcr eine kontinuierliche Nutzung gedacht ist.<\/p>\n\n\n\n

Hinweis: Die Eingrenzung der Abfrage durch Verwendung von _sourceCategory=<\/code> (Rohprotokolle) und sec_record<\/code>-Indizes wird f\u00fcr eine eingegrenzte und leistungsf\u00e4hige Suche dringend empfohlen. Wenn Sie jedoch nach verd\u00e4chtigen Aktivit\u00e4ten in mehreren Quellenkategorien suchen, ist es sinnvoll, zun\u00e4chst breit anzufangen, um Aktivit\u00e4ten schnell zu identifizieren und die Suche nach Bedarf einzugrenzen.<\/p>\n\n\n\n

Diese Abfragen erheben keinen Anspruch auf Vollst\u00e4ndigkeit bei der Erkundung der betroffenen SharePoint-Infrastruktur, sondern dienen dazu, die Untersuchung potenziell betroffener Umgebungen zu beschleunigen.\u00a0<\/p>\n\n\n\n

Sumo Logic Cloud-SIEM-Erkennungen<\/h3>\n\n\n\n

Sumo Logic Cloud-SIEM-Kunden haben die folgenden Regeln in ihren Umgebungen laufen, die ihnen helfen, Signale und Erkenntnisse von betroffenen Systemen (und anderen damit verbundenen Entit\u00e4ten) zu identifizieren und darauf zu reagieren.<\/p>\n\n\n\n

Bei den Cloud-SIEM-Regeln konzentrieren sich die folgenden auf verd\u00e4chtige Ausf\u00fchrungen auf dem SharePoint-Zielserver. Sie suchen nach einer Reihe von Aktivit\u00e4ten (einige allgemeiner als die anderen), die sich haupts\u00e4chlich um SharePoint drehen.<\/p>\n\n\n\n

Wie bereits erw\u00e4hnt, verf\u00fcgt Cloud SIEM \u00fcber Entity Tagging und Match Lists<\/a>, wertvolle Tools zur Identifizierung und Erh\u00f6hung des Schweregrads auf SharePoint-Servern.\u00a0<\/p>\n\n\n\n

Cloud-SIEM-Regel-ID<\/td>Name der Regel<\/td><\/tr>
MATCH-S00164<\/td>Verd\u00e4chtige Shells, die von Webservern erzeugt werden<\/td><\/tr>
SPIEL-S00539<\/td>Webserver, die verd\u00e4chtige Prozesse ausf\u00fchren*<\/td><\/tr>
FIRST-S00010<\/td>Erste gesehene PowerShell-Ausf\u00fchrung vom Computer<\/td><\/tr>
MATCH-S00136<\/td>PowerShell-kodierter Befehl<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

<\/p>\n\n\n\n

* MATCH-S00539 erfordert die Erstellung und Bef\u00fcllung der “web_servers”-\u00dcbereinstimmungsliste, um die Ausf\u00fchrung von Prozessen auf Ihren Webservern zu erkennen. Hier sehen Sie, wie Sie eine Trefferliste erstellen<\/a>.<\/p>\n\n\n\n

Threat Intelligence ist der Schl\u00fcssel zum Aufsp\u00fcren neuer und aufkommender Bedrohungen, da im Zusammenhang mit diesem Angriff Anhaltspunkte f\u00fcr eine Gef\u00e4hrdung bekannt geworden sind. Wir empfehlen Ihnen, Threat-Intelligence-Treffer im Zusammenhang mit Ihrer SharePoint-Infrastruktur auf m\u00f6gliche Ermittlungsm\u00f6glichkeiten hin zu \u00fcberpr\u00fcfen. Zum Zeitpunkt der Erstellung dieses Artikels wurden die Indikatoren in Blog-Beitr\u00e4gen ver\u00f6ffentlicht und sind nicht unbedingt in den gr\u00f6\u00dferen Threat Feeds aufgetaucht.<\/p>\n\n\n\n

Cloud-SIEM-Regel-ID<\/td>Name der Regel<\/td><\/tr>
MATCH-S01023<\/td>Threat Intel – Inbound Traffic from Threat Feed IP (High Confidence)<\/td><\/tr>
MATCH-S01027<\/td>Threat Intel – Inbound Traffic from Threat Feed IP (Medium Confidence)<\/td><\/tr>
MATCH-S01025<\/td>Threat Intel – Inbound Traffic from Threat Feed IP (Low Confidence)<\/td><\/tr>
MATCH-S01000<\/td>Threat Intel – MD5 Match<\/td><\/tr>
MATCH-S01003<\/td>Threat Intel – SHA1 Match<\/td><\/tr>
MATCH-S01004<\/td>Threat Intel – SHA256 Match<\/td><\/tr>
<\/td><\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

<\/p>\n\n\n\n

Mit Sumo Logic Threat Intelligence<\/a> k\u00f6nnen Kunden ihre eigenen Indikatoren hochladen und auch aus benutzerdefinierten Quellen einlesen. Angesichts der wenigen Indikatoren, die von der Community gemeinsam genutzt werden, ist die Erstellung einer Threat Intelligence-Quelle f\u00fcr Cloud-SIEM-Regeln eine Option f\u00fcr eine schnelle Abdeckung und Einbindung in die oben genannten Regeln. Kunden k\u00f6nnen auch lokale Threat-Intelligence-Regeln erstellen und dabei die von ihnen erstellte benutzerdefinierte Quelle nutzen (d.h. hasThreatMatch([srcDevice_ip,file_hash_md5,file_hash_sha256],\u00a0 source=”toolshell iocs”).<\/p>\n\n\n\n

Vorgeschlagene Erkennungstheorien f\u00fcr die Entwicklung lokaler Regeln<\/h3>\n\n\n\n

Hier finden Sie einige Beispiele f\u00fcr Erkennungstheorien, die in Cloud-SIEM-Match-Expressions umgewandelt wurden, damit Sie in Ihren Umgebungen Regeln erstellen k\u00f6nnen, um Elemente dieses Angriffs zu erkennen.<\/p>\n\n\n\n

Cloud SIEM \u2013 die erste Zugriffs-POST-Anfrage f\u00fcr die Exploit-Kette:<\/p>\n\n\n\nhttp_method = 'POST'AND http_response_statusCode IN (200, 302)AND http_referer_path MATCHES \/(?i)_layouts\\\/1[56]\\\/signout\\.aspx$\/AND fields['cs_uri_stem'] MATCHES \/(?i)_layouts\\\/1[56]\\\/toolpane\\.aspx$\/<\/code>\n\n\n\n

<\/p>\n\n\n\n

Theorie: Erkennung des POST, der den ersten Zugriff des Angriffs ausl\u00f6st und dazu f\u00fchrt, dass die Webshell auf dem anf\u00e4lligen System installiert wird.<\/p>\n\n\n\n

Die ausf\u00fchrbare Datei von Cloud SIEM wurde dem IIS-Verzeichnis hinzugef\u00fcgt:<\/p>\n\n\n\naction = \"FileCreate\"AND changeTarget MATCHES \/(?i:\\\\wwwroot\\\\|\\\\windows\\\\microsoft\\.net\\\\\\framework\\\\|\\microsoft shared\\\\\\web server extensions\\\\).+\\.(?i:as[hmp]x|cshtml)$\/AND baseImage NOT MATCHES \/(?i)(?:\\\\w3wp|\\\\msdeploy|\\\\svchost|\\\\explorer)\\.exe$\/<\/code>\n\n\n\n

<\/p>\n\n\n\n

Theorie: Erkennen der Aktion eines FileCreate f\u00fcr eine ausf\u00fchrbare Datei (in diesem Zusammenhang Webshell), die in das IIS-Verzeichnis geschrieben wird.<\/p>\n\n\n\n

Cloud SIEM erkennt Interaktion mit der Webshell \u00fcber GET:<\/p>\n\n\n\nhttp_method = 'GET'AND http_response_statusCode IN (200,302)AND fields['cs_uri_stem'] MATCHES \/(?i)_layouts\\\/1[56]\\\/spinstall\\d{0,2}\\.aspx\/<\/code>\n\n\n\n

<\/p>\n\n\n\n

Theorie: Nachdem der Angreifer das System mit der Exploit-Kette kompromittiert hat, die mit dem oben genannten POST-Request begann, wird diese Erkennung die Interaktion mit der Webshell erfassen, w\u00e4hrend die Angreifer ihre Ziele auf dem Zielsystem ausf\u00fchren.<\/p>\n\n\n\n

Diese Erkennungstheorien werden als Prototypen freigegeben, um die Erstellung lokaler Erkennungsregeln zu beschleunigen und die Erkennung und Untersuchung mutma\u00dflich gef\u00e4hrdeter Umgebungen zu unterst\u00fctzen. Sie wurden speziell f\u00fcr die Ausf\u00fchrung als Match Expressions f\u00fcr Sumo Logic Cloud SIEM entwickelt und k\u00f6nnen so angepasst werden, dass sie \u00e4hnliche Ergebnisse wie die oben genannten gemeinsamen Suchen liefern.<\/p>\n\n\n\n

Empfehlungen<\/h2>\n\n\n\n

Microsoft bietet detaillierte Leitf\u00e4den<\/a> zum Schutz vor potenziellen Ausnutzungen dieser Schwachstelle in Ihrer Umgebung sowie Schritte zur Behebung, falls Sie feststellen, dass Ihre SharePoint-Server kompromittiert wurden.<\/p>\n\n\n\n

Die Ausnutzung der SharePoint-Schwachstellen ist trivial. Wenn Sie anf\u00e4llige SharePoint-Server in Ihrer Umgebung haben, m\u00fcssen Sie feststellen, ob diese kompromittiert wurden, und wenn ja, wie gro\u00df der Schaden ist und welche Abhilfema\u00dfnahmen erforderlich sind. Sobald Angreifer Ihre SharePoint-Server erfolgreich kompromittiert haben, k\u00f6nnen sie von SharePoint auf andere Objekte in Ihrer Umgebung \u00fcbergehen. Die Abfragen in diesem Artikel k\u00f6nnen Ihnen helfen, festzustellen, ob eine Kompromittierung stattgefunden hat.\u00a0<\/p>\n\n\n\n

Jetzt haben Sie eine kurze Analyse und eine Zeitleiste des laufenden Angriffs auf On-Prem-SharePoint-Server und wissen, wie Sie Sumo Logic verwenden, um nach verd\u00e4chtigen Aktivit\u00e4ten zu suchen und diese zu erkennen. Wenn Sie tiefer in das Thema einsteigen m\u00f6chten, stehen Ihnen unten weitere Quellen zur Verf\u00fcgung.\u00a0<\/p>\n\n\n\n

Und wie immer gilt: Wenn Sie noch kein Cloud SIEM haben und verstehen m\u00f6chten, wie es Ihnen helfen kann, Bedrohungen wie diese zu erkennen und darauf zu reagieren, buchen Sie eine Demo, um mehr zu erfahren<\/a>.<\/p>\n\n\n\n

Referenzen und weitere Ressourcen<\/h2>\n\n\n\n

Informationen zur NIST-Schwachstelle:<\/strong><\/p>\n\n\n\n