Pada 25 Juli 2025, FortiGuard Labs merilis laporan komprehensif mengenai kampanye siber baru yang dinamakan ToolShell, yaitu rantai eksploit canggih yang menyasar server Microsoft SharePoint on‑premises menggunakan kombinasi celah keamanan yang telah dipatch dan zero‑day vulnerabilities .
Latar Belakang dan Lingkup Serangan
ToolShell memanfaatkan dua CVE yang sudah ditambal (CVE‑2025‑49704 & CVE‑2025‑49706) serta dua CVE zero‑day yang masih baru (CVE‑2025‑53770 & CVE‑2025‑53771) untuk melakukan remote code execution (RCE) tanpa autentikasi. Microsoft dan CISA telah mencantumkan CVE‑CVE ini dalam Known Exploited Vulnerabilities agar organisasi segera bertindak
Alur Eksploit ToolShell
ToolShell menyerang SharePoint Enterprise Server 2016, 2019 dan Subscription Edition yang terhubung ke internet. Teknik yang digunakan melibatkan bypass autentikasi berbasis path traversal dan insecure deserialization.
Serangan dikembangkan oleh aktor ancaman seperti Linen Typhoon, Violet Typhoon, dan Storm‑2603, yang sejak 7 Juli 2025 telah mengeksploitasi celah ini. Dampaknya luas, menjangkau lebih dari 400 institusi global di sejumlah negara seperti AS, Jerman, Australia, dan lainnya .
Dampak Serangan & Risiko
Eksploit memungkinkan pencurian ValidationKey dan DecryptionKey ASP.NET—kunci kriptografis SharePoint. Setelah diretas, penyerang mampu melakukan akses lanjut ke server dan mengontrol token otentikasi, memungkinkan manipulasi ViewState atau data sensitif lain .
Berdasarkan monitor permukaan serangan, sekitar 5% organisasi yang dipindai masih rentan pada CVE‑2025‑53770, meskipun patch sudah dirilis. Exploit tersebut menciptakan ancaman real‑time yang sangat serius .
Langkah Mitigasi dan Proteksi
Fortinet telah mengembangkan IPS signature: MS.SharePoint.ToolShell.Remote.Code.Execution yang tersedia untuk monitoring melalui FortiGate, FortiMail, FortiClient, dan FortiEDR. Selain itu, FortiGuard Antivirus mendeteksi malware terkait seperti MSIL/Agent.NEM!tr, HTML/Webshell.231A!tr, dan lainnya.
Rekomendasi Fortinet juga mencakup patch cepat, rotasi kunci kriptografi, konfigurasi scanning antivirus SharePoint (Antimalware Scan Interface), dan memutus server dari internet jika patch belum tersedia .
Tabel Ringkasan Kampanye ToolShell
| Elemen | Uraian |
| Target | SharePoint on‑prem (2016, 2019, Subscription Edition) |
| CVE Digunakan | CVE‑2025‑49704, 49706 (patched); CVE‑2025‑53770, 53771 (zero-day) |
| Metode Eksploit | Path traversal, insecure deserialization, akuisisi kunci kriptografi |
| Aktor Ancaman | Linen Typhoon, Violet Typhoon, Storm‑2603 |
| Skala Dampak | 400+ organisasi global, ~5% masih rentan |
| Aset yang Dicuri | ValidationKey, DecryptionKey ASP.NET |
| Proteksi Fortinet | IPS signature, FortiGuard AV, FortiGate/FortiMail/FortiClient/EDR |
| Saran Mitigasi | Patch segera, putus internet jika perlu, rotasi kunci, scan SharePoint |
Infrastruktur IT yang kuat adalah kunci produktivitas perusahaan. Dengan fortinet indonesia, Anda bisa mendapatkan solusi IT lengkap yang sesuai dengan kebutuhan Anda. iLogo Indonesia sebagai mitra terpercaya siap mengintegrasikan semuanya agar bisnis Anda tetap berjalan lancar dan aman.
Hubungi kami sekarang atau kunjungi fortinet.ilogoindonesia.id untuk informasi lebih lanjut!