I maj 2025, under säkerhetstävlingen Pwn2Own i Berlin, demonstrerade forskaren Dinh Ho Anh Khoa från Viettel Cyber Security en allvarlig sårbarhetskedja i Microsoft SharePoint Server. Exploiten, som döptes till ToolShell, möjliggjorde fjärrkörning av kod genom en enda begäran – utan autentisering.

Vad som började som en teknisk prestation i en kontrollerad miljö, utvecklades snabbt till ett globalt säkerhetshot. I juli bekräftade Microsoft att sårbarheterna nu utnyttjades aktivt i attacker mot organisationer världen över.

Den 19 juli 2025 släppte Microsoft en akut säkerhetsuppdatering för att täppa till två allvarliga sårbarheter i SharePoint Server:

• CVE-2025-53770 – möjliggör fjärrkörning av kod (CVSS 9.8)
• CVE-2025-53771 – spoofing-sårbarhet som kan användas i kombination med den första

Vem påverkas?

Det är viktigt att understryka att endast lokala installationer av SharePoint Server påverkas.
Microsoft 365-användare som endast använder SharePoint Online är inte berörda.

Däremot kan organisationer med hybridmiljöer eller äldre SharePoint-servrar i drift – även om de inte används aktivt – fortfarande vara sårbara.

Vad innebär sårbarheten?

Den mest kritiska sårbarheten (CVE-2025-53770) gör det möjligt för en angripare att utnyttja serverns MachineKey-konfiguration för att skicka specialutformade förfrågningar och därigenom köra kod utan autentisering.

Vad har Microsoft gjort?

Microsoft har släppt uppdateringar för:

• SharePoint Server Subscription Edition
• SharePoint Server 2019
• SharePoint Server 2016

Uppdateringarna publicerades mellan 19 och 21 juli 2025 och inkluderar även instruktioner för:

• Rotation av maskinnycklar
• Konfiguration av Microsoft Defender
• Detektion via Microsoft Defender Vulnerability Management

Vad bör du göra nu?

1. Identifiera om du har en lokal SharePoint-installation, även om den inte används aktivt.
2. Installera de senaste säkerhetsuppdateringarna från Microsoft.
3. Rotera maskinnycklar och kontrollera antiviruskonfigurationer.
4. Kontakta säkerhetspartner om du är osäker på din exponering.