安全研究人員建議,微軟合作夥伴計劃的洩漏助長了大規模的SharePoint黑客入侵活動,該活動損害了400多個組織。 Dustin Micro的零日計劃的Dustin Childs強調了利用零日缺陷的攻擊始於微軟發布其官方補丁。
這個時機對攻擊者在發布後簡單地對固定進行反向工程的理論引起了懷疑。它指出了釋放貼片信息的洩漏,這使威脅參與者可以以驚人的速度製作旁路漏洞。此後,該事件從間諜到勒索軟件升級。
預點洩漏?追求漏洞利用的起源
爭議集中在安全專家發現非常可疑的時間表上,這並不是一個出色的獨立黑客攻擊,而是在微軟自己的披露過程中深處洩漏。故事始於5月15日,研究人員
However, evidence shows that exploitation of a new, related zero-day (CVE-2025-53770) began in the wild on July 7. This was a full day before Microsoft’s official patch went live, a sequence that security researcher Dustin Childs of Trend Micro’s Zero Day Initiative calls damning evidence of a leak.
他認為,攻擊者有一個關鍵的局面,在發布後無法通過對補丁進行逆轉來解釋。 Childs 告訴登記冊登記冊, egize 在某個地方發生了一個洩漏。補丁…”,建議提前知識是關鍵。
“洩漏理論”認為威脅參與者獲得了敏感的MAPP數據,這不僅詳細介紹了原始缺陷,而且還揭示了Microsoft修復它的特定方式。根據Childs的說法,擁有此信息的任何人都可以說,這是一種簡單的方法來超越它。 Tenable Research的Satnam Narang指出,攻擊者並非不可能地發現自己的缺陷,也許是在現代工具的幫助下。他告訴登記冊:“很難說要使這些威脅行為者能夠在野外利用這些缺陷的原因。 ”
就其部分而言,微軟對洩漏的猜測保持沉默。當受到質疑時,發言人提供了一般性聲明,說:“作為我們的標準過程的一部分,我們將審查此事件,找到改進的領域,並廣泛應用這些改進。 “這留下了一個關鍵問題,即攻擊者如何正式啟動。
從間諜到勒索軟件:中國鏈接的群體責怪攻擊
作為利用的技術細節,作為攻擊性的技術細節,Microsoft出現了,Microsoft和Google的Mandiant和Google的最初攻擊率歸因於多個中國人,以多個中國人的攻擊率歸因於多個中國人群。在一份詳細報告中,微軟的調查,作為競選活動背後的主要罪魁禍首。
這些不是未知的演員。根據微軟的說法,亞麻颱風至少從2012年起就一直活躍起來,重點是知識產權盜竊,而紫羅蘭色颱風(Violet Typhoon)於2015年首次觀察到,被描述為“專門用於間諜活動”。 This aligns with the initial targeting of government and high-value corporate networks, a hallmark of advanced persistent threat (APT) operations.
Mandiant’s CTO, Charles Carmakal, independently corroborated the findings, stating, “we assess that at least one of the actors responsible for this early exploitation is a China-nexus threat actor. It’s critical to understand that multiple actors are now actively exploiting this脆弱性。”這種歸因增加了一個重大的地緣政治維度,這與以前的Microsoft產品的主要黑客攻擊也歸咎於中國。
中國政府牢牢否認了這些指控。在正式的聲明中,中國外交部發言人朱·賈肯(Guo Jiakun)說:“中國反對並根據法律對黑客活動進行鬥爭。與此同時,我們反對在網絡安全問題的藉口上對中國的塗片和攻擊,”在網絡安全問題的藉口上,“推動了Microsoft和Microsoft和美國官員的責任的推動力,並在最初的策略中推動了一項策略。
Anatomy of the Attack: Stolen Keys and a Sophisticated Patch Bypass
The exploit, dubbed “ToolShell,”is a textbook example of a sophisticated patch bypass, demonstrating how確定的攻擊者可以快速規避安全性修復。研究人員認為,威脅參與者使用一種稱為“補丁分散”的技術來分析微軟的7月安全更新,該技術旨在解決相關的缺陷,
攻擊方法本身是危險的隱秘,並且設計用於長期持久性。攻擊者沒有部署典型的交互式網絡殼,而是在折衷的服務器上種植了一個名為spinstall0.aspx的小型腳本文件。首先檢測到該活動的安全公司Eye Security指出:“這不是您的典型網絡殼。沒有交互式命令,反向外殼或命令和控制邏輯。 “它的唯一目的是 exfiltrate服務器的加密計算機鍵。
竊取這些鍵的範圍比簡單的服務器更危險。它們是SharePoint Farm的州管理系統使用的主證書,以驗證和解密會話數據。通過擁有這些密鑰,攻擊者可以生成有效的“ __ViewState”有效載荷,從而有效地將任何身份驗證的請求變成潛在的遠程代碼執行向量。這使他們獲得了難以檢測的深刻而持久的控制水平。
這種方法可確保攻擊者即使在組織應用Microsoft緊急補丁後也可以維持訪問權限。正如Eye Security的研究團隊所警告的那樣:“這些鑰匙允許攻擊者模仿用戶或服務,即使服務器被修補後。因此,單獨進行修補並不能解決問題。 “此關鍵細節意味著,在修補之前被妥協的任何服務器都保持脆弱,直到採取進一步的措施為止。
因此,修復是一個複雜的兩步過程。僅應用新的安全更新不足以驅逐已經違反服務器的攻擊者。 Microsoft強調,組織還必須執行至關重要的第二步:
Microsoft and CISA Scramble as Victim Tally Surpasses 400
The severity and rapid escalation of the attack prompted a swift and urgent response from both Microsoft and U.S. federal authorities. Microsoft最初在補丁準備之前爭先恐後地遏制威脅,於7月20日首次發布了緊急緩解指南,建議管理員啟用特定的安全功能並旋轉其服務器鍵。就在一天后的7月21日,該公司發布了所有受影響的本地SharePoint版本的緊急情況,不頻道的安全性更新。
在確認事件引力的聲明中,Microsoft發言人說:“作為我們的標準過程的一部分,我們將審查這一事件,找到這些事件,並在範圍內進行改進,並在範圍內進行範圍。 (CISA)採取了決定性的行動。代理機構,對手積極使用已知的缺陷列表。 CISA發布了具有約束力的指令,要求所有聯邦平民機構在7月21日之前採用微軟的補丁和補救步驟,這標誌著最高水平的緊迫性。
在其警覺中,CISA在其警覺中說明了危險的危險,並說明了“這種剝削活動”,並公開地訪問了“無效的施用者”,並啟用了系統,並啟用了系統的啟用,啟用了系統的啟用,並啟用了啟用的範圍, code over the network.”
The federal directive came as the list of victims skyrocketed from a few dozen to at least 400根據網絡安全公司眼安全性的說法,公司。違反了包括國土安全部和國家核安全局(NNSA)在內的違反政府的目標,強調了對國家基礎設施威脅的嚴重性。
。 ”
7月21日,這種情況在7月21日被公開釋放了對github 的公共釋放(poccept)(poc)。這一發展有效地使復雜的攻擊民主化,使其可以使用更廣泛的網絡犯罪分子和勒索軟件幫派的範圍。安全專家警告說,這可能會引發對任何剩下的未捕獲系統的自動化,不加區分的攻擊,這使數千個組織面臨直接風險。