Trwająca właśnie kampania cyberataków „ToolShell” skierowana przeciwko lokalnym serwerom Microsoft SharePoint nie jest jedynie kolejnym incydentem bezpieczeństwa. To sygnał ostrzegawczy dla firm i instytucji publicznych, które wciąż polegają na lokalnych środowiskach IT – często z pominięciem aktualizacji, bez ciągłego nadzoru i z ograniczonym budżetem na cyberochronę. Konsekwencje mogą być daleko poważniejsze niż tylko czasowe zakłócenia.
Słabość w lokalnych instalacjach
W ataku „ToolShell” cyberprzestępcy wykorzystują dwie luki – CVE-2025-53770 i CVE-2025-53771 – w lokalnych wersjach SharePoint Server. Oprogramowanie, które przez lata uchodziło za kluczowe ogniwo cyfrowej współpracy w firmach, okazało się łatwym celem – o ile nie zostało odpowiednio zabezpieczone. Co istotne, podatności nie dotyczą chmurowej wersji SharePoint Online, co tylko pogłębia przepaść między tymi, którzy już migrowali do środowisk SaaS, a tymi, którzy z różnych względów nadal utrzymują własną infrastrukturę.
Microsoft wydał już awaryjne poprawki dla wersji Subscription Edition i SharePoint Server 2019. Jednak użytkownicy wersji 2016 wciąż czekają na aktualizację – a to właśnie ta edycja jest szeroko wykorzystywana w instytucjach publicznych, szkołach i firmach produkcyjnych. Problem dotyczy więc nie tylko dużych korporacji, ale też całego zaplecza administracyjnego i edukacyjnego, które nie zawsze dysponuje działem cyberbezpieczeństwa z prawdziwego zdarzenia.
Skala problemu rośnie
Według niezależnych badaczy ataki trwają od co najmniej 17 lipca i nie są ograniczone geograficznie. Najbardziej poszkodowane są organizacje w USA, Niemczech, Francji i Australii, ale skala działania atakujących sugeruje, że narażone są instytucje na całym świecie – w tym także w Polsce.
Najbardziej niepokojący jest fakt, że celem ataków padły m.in. agencje rządowe i organizacje zarządzające infrastrukturą krytyczną. Eksperci ds. bezpieczeństwa zalecają, by każda organizacja z wystawionym do internetu lokalnym SharePointem przyjęła domyślne założenie: „jesteśmy już zainfekowani”.
Tego typu ostrzeżenia nie pojawiają się często. W praktyce oznacza to konieczność nie tylko zainstalowania dostępnych łatek, ale też dokładnego przeprowadzenia analiz śledczych, odcięcia dostępu zewnętrznego, rotacji kluczy kryptograficznych i potencjalnej odbudowy środowiska. Dla wielu firm oznacza to zatrzymanie projektów, angażowanie zewnętrznych zespołów IR (incident response) i poważne koszty operacyjne.
Dlaczego SharePoint?
SharePoint to nie tylko repozytorium dokumentów. W wielu organizacjach integruje się z Office’em, Teamsami, OneDrive’em i Outlookiem – stanowiąc w praktyce hub całej komunikacji i współdzielenia danych. Uzyskanie nieautoryzowanego dostępu do tego systemu oznacza dla atakującego dostęp do najważniejszych informacji operacyjnych firmy.
Dodatkowo luka CVE-2025-53770 umożliwia wykonanie zdalnego kodu bez uwierzytelnienia. W praktyce – pełne przejęcie kontroli nad serwerem, włącznie z kradzieżą danych, tworzeniem backdoorów i eksfiltracją kluczy kryptograficznych. Dla organizacji oznacza to nie tylko ryzyko wycieku danych, ale też potencjalny szantaż, infekcję ransomware i trwałe osłabienie zaufania klientów.
Kwestia strategiczna, nie tylko techniczna
Dla wielu przedsiębiorstw atak na SharePoint to moment zwrotny. Wieloletnie odkładanie decyzji o migracji do chmury lub modernizacji lokalnej infrastruktury właśnie pokazało swoją ciemną stronę. Firmy, które wcześniej zainwestowały w rozwiązania SaaS, były chronione przed tą kampanią niemal z definicji.
Z drugiej strony, sektor publiczny i duże organizacje z rygorystycznymi wymogami compliance nadal często utrzymują środowiska on-premise. Problem polega jednak na tym, że wiele z tych systemów działa w tzw. trybie „ustaw i zapomnij”. Brak zasobów, przeszkolonych administratorów i procedur IR powoduje, że wykrycie ataku może nastąpić dopiero po tygodniach – o ile w ogóle zostanie odnotowane.
Co dalej?
Organizacje, które jeszcze tego nie zrobiły, powinny bezzwłocznie:
- Zainstalować dostępne poprawki Microsoftu (Subscription Edition, 2019),
- Odłączyć lokalne SharePointy od internetu do czasu wydania łatek dla wersji 2016,
- Zweryfikować logi, uruchomić analizy forensic i sprawdzić, czy nie doszło do eksfiltracji danych,
- Zrotować klucze kryptograficzne, tokeny i hasła dostępowe,
- Przeprowadzić pełny audyt konfiguracji i ekspozycji środowisk lokalnych.
W dłuższej perspektywie firmy powinny też zrewidować swoją strategię IT. Utrzymywanie lokalnych systemów bez planu aktualizacji i zasobów na ich zabezpieczanie jest dziś równie ryzykowne jak trzymanie gotówki w sejfie z wyjętym zamkiem. To nie jest już tylko temat dla działu IT – to zagadnienie strategiczne, które powinno trafić na biurko zarządu.
