A campanha massiva de hackers do Microsoft SharePoint Zero Day parece ser alimentada por detalhes vazados do patch

Published by All Things Windows on

Um pesquisador de segurança sugere um vazamento de um programa de parceiros da Microsoft alimentou a enorme campanha de hackers do SharePoint que comprometeu mais de 400 organizações. A iniciativa de Dustin Childs of Trend Micro Day destaca que os ataques que exploram a falha do dia zero começaram antes que a Microsoft divulgasse seu patch oficial. Ele aponta para um vazamento de informações de patch pré-lançamento, o que permitiu aos atores da ameaça criar uma exploração de desvio com velocidade alarmante. Desde então, o incidente aumentou da espionagem para o ransomware.

um vazamento de pré-patch? A busca pela origem da exploração

A controvérsia centra-se em uma linha do tempo que os especialistas em segurança acham profundamente suspeitos, apontando para não uma peça brilhante de hackers independentes, mas para um vazamento em potencial profundo no próprio processo de divulgação da Microsoft. A história começa em 15 de maio, quando um pesquisador demonstrou um potencial e a cadeia de exploração told The Register, “a leak happened here somewhere. And now you’ve got a zero-day exploit in the wild, and worse than that, you’ve got a zero-day exploit in the wild that bypasses the Patch…”, sugerir o conhecimento avançado foi a chave. Segundo Childs, qualquer pessoa com essas informações “seria capaz de dizer que essa é uma maneira fácil de superar isso, permitindo que eles projetarem preventivamente uma solução alternativa.

Embora a linha do tempo seja altamente sugestiva, outros pesquisadores oferecem possibilidades alternativas. Satnam Narang, da Pesquisa Tenável, observou que não é impossível que os atacantes tenham encontrado a falha por conta própria, talvez auxiliada pelas ferramentas modernas. Ele disse ao Registro:”É difícil dizer o que o Domino teve que cair para que esses atores de ameaças possam alavancar essas falhas na natureza”. Quando questionado, um porta-voz forneceu uma declaração geral, dizendo:”Como parte do nosso processo padrão, revisaremos esse incidente, encontraremos áreas para melhorar e aplicarmos essas melhorias amplamente”. Isso deixa a questão crítica de como os atacantes começaram oficialmente a ser respondidos. Em um relatório detalhado, a investigação da Microsoft deploy Warlock Ransomware . Essa escalação aumenta drasticamente as apostas para organizações não atingidas, mudando a ameaça principal do roubo secreto de dados para paralisia operacional aberta e extorsão financeira. Os atacantes determinados podem contornar rapidamente as correções de segurança. Os pesquisadores acreditam que os atores de ameaças usaram uma técnica chamada”Patch Diffing”para analisar a atualização de segurança de julho da Microsoft, que pretendia consertar uma falha relacionada,

O método de ataque em si é perigosamente furtivo e projetado para persistência a longo prazo. Em vez de implantar uma webshell típica e interativa, os atacantes plantam um pequeno arquivo de script direcionado chamado spinstall0.aspx em um servidor comprometido. A empresa de segurança ocular, que detectou a campanha pela primeira vez, observou:”esta não era a sua toca típica da web. seu único objetivo Exfiltrar as chaves criptográficas do servidor . Eles são as credenciais principais usadas pelo sistema de gerenciamento de estado da SharePoint Farm para validar e descriptografar os dados da sessão. Ao possuir essas chaves, os invasores podem gerar cargas úteis válidas `__ViewState`, transformando efetivamente qualquer solicitação autenticada em um potencial vetor de execução de código remoto. Isso concede a eles um nível de controle profundo e persistente que é difícil de detectar.

Esse método garante que os invasores possam manter o acesso mesmo depois que uma organização aplica o patch de emergência da Microsoft. Como a equipe de pesquisa da Eye Security avisa,”essas chaves permitem que os invasores personalizem usuários ou serviços, mesmo depois que o servidor é corrigido. Portanto, o patching por si só não resolve o problema”. Esse detalhe crítico significa que qualquer servidor comprometido antes de ser corrigido permanece vulnerável até que novas medidas sejam tomadas.

Consequentemente, a remediação é um processo complexo de duas etapas. Simplesmente aplicar a nova atualização de segurança não é suficiente para despejar atacantes que já violaram um servidor. A Microsoft enfatizou que as organizações também devem executar a segunda etapa crucial: Este procedimento gera novas chaves criptográficas e invalida as antigas, bloqueando efetivamente os intrusos que já os roubaram e estabeleceram persistência na rede. autoridades. Inicialmente lutando para conter a ameaça antes que um patch estivesse pronto, a Microsoft publicou as orientações de mitigação urgente pela primeira vez em 20 de julho, aconselhando os administradores a permitir recursos específicos de segurança e girar as chaves do servidor. Apenas um dia depois, em 21 de julho, a empresa divulgou atualizações de segurança fora da banda para todas as versões do SharePoint, no local. (CISA) tomou uma ação decisiva. A agência . A quebra de metas governamentais de alto nível, incluindo o Departamento de Segurança da Homeração e a Administração Nacional de Segurança Nuclear (NNSA), destacou a gravidade da ameaça à infraestrutura nacional. Menos cuidados e pode ter sido exposto.”

A situação foi inflamada em 21 de julho com o Lançamento público de uma prova de conceito (PoC) em Gith . Esse desenvolvimento democratizou efetivamente o ataque sofisticado, tornando-o acessível a uma gama muito mais ampla de cibercriminosos e gangues de ransomware menos qualificados. Especialistas em segurança alertaram que isso provavelmente desencadearia uma onda massiva de ataques indiscriminados e automatizados contra qualquer sistema não patch, colocando milhares mais organizações em risco imediato.

Categories: IT Info

Related Posts

IT Info

Ferramenta de faísca do GitHub Lanfeas, que pode criar aplicativos completos a partir de um único prompt

A nova plataforma de faísca do Github cria aplicativos de pilha completa a partir de avisos de texto simples, escalando a corrida de'codificação da vibração'contra rivais como Google e Amazon. O post github libera faísca também

IT Info

Meta revela a pulseira para controle de gestos, traduzindo movimentos musculares em comandos

A meta revela uma pulseira não invasiva que lê sinais musculares para controle do computador. A meta pós revela a pulseira para controle de gestos, traduzindo movimentos musculares em comandos AP

IT Info

Microsoft afirma

A Microsoft reivindicou correções para dois problemas remanescentes do Windows 11 versão 24H2; BSOD por causa do problema fácil de parada anti-travessa e do Windows Firewall. Chegando à questão do BSOD, Microso