Trifork Security Cyberbrief: SharePoint ToolShell

CrowdStrike, 2025-08-06

CrowdStrike, 2025-08-06

Juli 2025

Af Elin Gadegaard Gjørup | 730 ord | Læsetid: 4 minutter

I juli udløste en kritisk sårbarhed i Microsoft SharePoint, døbt ToolShell, en bølge af cyberangreb verden over.

Hos Trifork Security oplevede vores Security Operations Center (SOC) på første hånd, hvordan trusselsaktører forsøgte at udnytte sårbarheden mod vores kunder. Derfor dykker vi i denne måneds cyberbrief ned i ToolShell-sagen og deler vores erfaring med sårbarheden.

Hvad er ToolShell?

ToolShell er en sammenkædning af CVE-2025-49706 og CVE-2025-49704 – to kritiske sårbarheder i on-premise SharePoint, der sammen gør det muligt at udføre remote code execution (RCE) og opnå kontrol over servere uden autentificering.

Sikkerhedsforanstaltninger som multi-factor authentication og single sign-on bliver dermed virkningsløse, da angrebet helt omgår login-processen.

Når aktøren først er inde, har de adgang til alt SharePoint-indhold og systemfiler, samt mulighed for at bevæge sig på tværs af Windows-domænet.

RCE sårbarheden giver også aktøren mulighed for at stjæle IIS machine keys, og på den måde sikre vedvarende adgang til at stjæle data og installere yderligere malware – selv længe efter den oprindelige sårbarhed er blevet rettet[1].

ToolShell-forløbet trin for trin

ToolShell-sårbarheden blev opdaget allerede i maj 2025 under en international hacker-konkurrence i Berlin. Selvom sårbarheden satte Microsoft under pres for at udvikle en sikkerhedsopdatering, blev den først udgivet den 8. juli 2025.

Opdateringen viste sig dog hurtigt at være utilstrækkelig. Den 17.-18. juli 2025 rapporterede flere cybersikkerhedsfirmaer, at hundredvis af on-premise SharePoint-servere blev forsøgt kompromitteret.

Mindre end ti dage efter udgivelsen havde angriberne fundet en måde at omgå opdateringen fra den 8. juli og derved opnået den samme kritiske adgang, som den oprindelige sårbarhed gav[1].

Allerede lørdag den 19. juli anerkendte Microsoft, at den oprindelige opdatering kunne omgås. Microsofts Security Response Center udsendte en officiel advarsel om de nye sårbarheder, der beskrev bypass-metoden (CVE-2025-53770 og CVE-2025-53771), og meddelte, at en ny løsning var under udvikling med højeste prioritet[2].

Denne endelige out-of-band nødopdatering blev udgivet den 21. juli og har siden vist sig at være effektiv[3].

Hændelsens omfang og konsekvenser

Selvom Microsoft til sidst fik lukket sikkerhedsbristen, har ToolShell-hændelsen ført til, at mindst 400 organisationer er blevet ramt af cyberangreb verden over – heriblandt Bornholm Regionskommune og flere amerikanske myndighedsorganisationer[4].

Derudover har Microsoft meddelt, at tre kinesiske hackergrupper har udnyttet sårbarheden til at udføre cyberangreb.

Blandt disse er de to statsstøttede grupper Linen Typhoon, der tidligere har forsøgt at stjæle intellektuel ejendom fra forsvarsindustrien og strategiske sektorer, samt Violet Typhoon, der er kendt for cyberspionage rettet mod blandt andet regeringsansatte, tænketanke og NGO’er i Vesten[2].

Fra frontlinjen: Sådan stoppede vi ToolShell

Allerede dagen inden Microsofts officielle advarsel observerede Trifork Security, hvordan aktører forsøgte at udnytte sårbarheden i et angreb mod en af vores kunder.

Vores SOC-team modtog en advarsel fra en CrowdStrike Falcon-sensor, der øjeblikkeligt havde blokeret det ondsindede forsøg på indtrængning.

I den efterfølgende threat hunt kunne vores SOC hurtigt bekræfte, at truslen var fuldstændig elimineret.

CrowdStrike Falcon-sensor var ikke kun afgørende for vores kundes sikkerhed: CrowdStrike har rapporteret, at hundredvis af ToolShell-angrebsforsøg er blevet blokeret på tværs af over 160 kundemiljøer, fordi en effktiv EDR-løsning (Endpoint Detection and Response) var på plads[5]. 

Denne hændelse er mere end bare en succesberetning: Den viser, hvor afgørende et proaktivt forsvar er.

Angriberne venter ikke på din næste opdatering

Den avancerede modstander agerer i det øjeblik, en sårbarhed bliver kendt, og udnytter den tid, det tager for selv de største softwarevirksomheder at udvikle, teste og frigive en sikkerhedsopdatering.

Derfor er det vigtigt at din organisation er forberedt, når sårbarheden uundgåeligt bliver udnyttet. Vores erfaring med ToolShell bekræfter, at den hurtigste og mest effektive beskyttelse opnås, når avanceret endpoint-sikkerhed kombineres med specialiseret 24/7 overvågning.

Hos Trifork Security hjælper vi organisationer med både at implementere stærke EDR-løsninger og sikre løbende overvågning gennem vores 24/7 SOC.

Kontakt os for at høre, hvordan vi kan hjælpe jer med at reagere hurtigt næste gang en sårbarhed som ToolShell skaber problemer.

KIlder

[1] – Eye Security. (19. juli 2025). SharePoint Under Siege: ToolShell Exploit (CVE-2025-49706 & CVE-2025-49704). https://research.eye.security/sharepoint-under-siege/
[2] – Microsoft Threat Intelligence. (22. juli 2025). Disrupting active exploitation of on-premises SharePoint vulnerabilities. Microsoft Security. https://www.microsoft.com/en-us/security/blog/2025/07/22/disrupting-active-exploitation-of-on-premises-sharepoint-vulnerabilities/
[3] – Petersen, K. I. S. (22. juli 2025). Ny Microsoft-opdatering fikser kritiske sårbarheder på alle understøttede versioner af SharePoint. Computerworld. https://www.computerworld.dk/art/292263/ny-microsoft-opdatering-fikser-kritiske-saarbarheder-paa-alle-understoettede-versioner-af-sharepoint
[4] – Møgelbjerg, T. (24. juli 2025). Microsoft: Hackere udnytter kendt SharePoint-sårbarhed til at sprede ransomware – over 400 organisationer nu ramt. Computerworld. https://www.computerworld.dk/art/292289/microsoft-hackere-udnytter-kendt-sharepoint-saarbarhed-til-at-sprede-ransomware-over-400-organisationer-nu-ramt
[5] – CrowdStrike Engineering. (21. juli 2025). CrowdStrike Detects and Blocks Initial SharePoint Zero-Day Exploitation. CrowdStrike. https://www.crowdstrike.com/en-us/blog/crowdstrike-detects-blocks-sharepoint-zero-day-exploitation/