L’installazione di aggiornamenti avvia semplicemente il processo di recupero, poiché le infezioni consentono agli aggressori di chiudere i certificati di autenticazione che danno un ampio accesso a varie risorse sensibili all’interno di qualsiasi rete compromessa. Maggiori informazioni su questi passaggi aggiuntivi più avanti in questo articolo.
Sabato, ricercatori dell’agenzia di sicurezza I Sicurezza Rapporto “Durante le due ondate dell’attacco, alcune decine di sistemi furono attivamente compromesse, il 18 luglio, 18:00 UTC e il 19 luglio, circa 07:30 a UTC.” I sistemi sparsi in tutto il mondo sono stati violati usando la debolezza assorbita e quindi infettati da un backdoor a base di webshell chiamato Toolgel. I ricercatori della protezione degli occhi affermano che il backdoor è stato in grado di accedere alle parti massime sensibili di un server di SharePoint e da lì hanno permesso token che consentono al loro codice di estendere i loro raggi alle reti degli aggressori.
I ricercatori per la protezione degli occhi hanno scritto: “Non era il tuo webshell comune”. “Ecco un comando interattivo, una shell inversa o un argomento di controllo dei comandi. Invece, la pagina ha richiesto le procedure .NET interne per leggere la configurazione della macchina del server di SharePoint con legalizzazione. Queste chiavi sono valide per creare un payload __ Vyoste valido.
L’esecuzione del codice remoto è possibile utilizzando lo sfruttamento per colpire la struttura dei dati e gli oggetti che possono essere tradotti o trasformati in formati che possono essere riorganizzati, in seguito, noto come processo SerializzazioneIl vero Debolezza di SharePoint Nel 2021, era possibile abusare dell’argomento razionale per gli oggetti iniettati nelle pagine di Microsoft. Ciò è accaduto perché SharePoint ha utilizzato la chiave di convalida memorizzata nella configurazione della macchina, utilizzando gli oggetti Aspnet ViewState. Può consentire agli aggressori di esaurire indiscriminatamente le azioni dei SharePoints ed eseguire i comandi incorporati. Questi exploit, ovviamente, erano limitati dalla necessità di generare una firma valida, che si traduce nella chiave di convalida segreta del server richiede l’accesso alla chiave.
