Güncellemelerin kurulumu, kurtarma sürecinin sadece başlangıcıdır, çünkü enfeksiyonlar saldırganların tehlikeye atılan bir ağ içindeki çeşitli hassas kaynaklara geniş erişim sağlayan kimlik doğrulama kimlik bilgilerini ortadan kaldırmasına izin verir. Bu makalenin ilerleyen dönemlerinde bu ek pasajlar hakkında daha fazla bilgi.
Cumartesi, güvenlik şirketi göz güvenliğinden araştırmacılar gösterişli “18 Temmuz’da 18:00 UTC civarında ve 19 Temmuz’da 07:30 UTC civarında iki saldırı dalgası sırasında düzinelerce aktif olarak tehlikeye atılmış sistem” bulun. Tüm dünyaya dağılmış olan sistemler, sömürülen güvenlik açığı kullanılarak ihlal edilmiş ve bu nedenle araç kabuğu adı verilen webshell’e dayanan bir arka kapı ile enfekte olmuştur. Göz güvenliği araştırmacıları, arka kapının bir SharePoint sunucusunun en hassas kısımlarına erişebildiğini ve oradan saldırganların ağlar içindeki kapsamlarını genişletmelerine izin veren kod gerçekleştirmelerine izin veren belirteci ayıklamak için olduğunu söyledi.
“Bu sizin tipik webshell’iniz değildi,” diye yazdı Göz Güvenliği Araştırmacılar. “Etkileşimli komutlar, ters kabuk veya kontrol ve kontrol mantığı yoktu. Bunun yerine, sayfa, doğrulama dahil SharePoint sunucusunun makine yapılandırmasını okumak için dahili .NET yöntemlerini çağırdı.
Uzak kodun yürütülmesi, SharePoint’in veri yapılarını ve nesnelerin durumlarını arşivlenebilen veya iletilebilen ve bu nedenle yeniden inşa edilebilen nesnelerin durumlarını tercüme etme şeklini etkilemek için istismar kullanılarak mümkün olmuştur. serileştirme. A SharePoint’in Güvenlik Açığı 2021’de Set Microsoft, nesneleri sayfalara enjekte etmek için analiz mantığını kötüye kullanmayı mümkün kıldı. Bu, SharePoint’in, makinenin yapılandırmasında arşivlenen doğrulama imza düğmesini kullanarak ASP.NET ViewState nesnelerini gerçekleştirdiği için gerçekleşti. Bu, saldırganların SharePoint’in keyfi nesneleri çekmesine ve dahil edilen komutları gerçekleştirmesine neden olmasına izin verebilir. Bununla birlikte, bu istismarlar, geçerli bir imza oluşturma gereksinimi ile sınırlıydı ve bu da sunucunun gizli doğrulanmasına erişim gerektiriyordu.