Ein Sicherheitsforscher schlägt vor, ein Leck eines Microsoft-Partnerprogramms zu Leck zu bringen, das die massive SharePoint-Hacking-Kampagne angeheizt hat, die über 400 Organisationen gefährdet hat. Dustin Childs of Trend Micros Zero Day Initiative Highlights, dass Angriffe, die den Zero-Day-Fehler ausnutzen, bevor Microsoft seinen offiziellen Patch veröffentlichte. Es weist auf ein Leck von Patch-Informationen vor der Veröffentlichung hin, die es Bedrohungsakteuren ermöglichten, einen Bypass-Exploit mit alarmierender Geschwindigkeit zu erstellen. Der Vorfall ist seitdem von Spionage zu Ransomware eskaliert. Die Jagd nach dem Ursprung des Exploits
Die Kontroverse konzentriert sich auf eine Zeitleiste, die Sicherheitsexperten zutiefst verdächtig finden und auf ein brillantes Stück unabhängiges Hacking, sondern auf ein potenzielles Leck in den eigenen Offenlegungsprozess von Microsoft hinweisen. Die Geschichte beginnt am 15. Mai, als ein Forscher und reagierende Sharepoint-Ketten-Ketten-AT-DEG-DEG-DEG-DEG-DEG-DEG-DEG-DEG-DEG-DEG-DEG-DEG-DEG-DEG-DEG-DEG-DEG-DEG-DEG-DEG-Kette AT the pwn2own-Wettbewerb. Microsoft, eine 90-Tage-Uhr für einen Patch starten. Zwei Wochen zuvor, am 24. Juni, teilte es die Anfälligkeiten und Patches mit vertrauenswürdigen Partnern in seinem Microsoft Active Protection Program (MAPP) vorab. Das Ziel von Mapp ist es, Sicherheitsanbieter einen Vorsprung für den Schutz ihrer Kunden zu geben.
Er argumentiert, dass die Angreifer einen kritischen Vorsprung hatten, der nicht durch Reverse-Engineering des Patchs nach seiner Veröffentlichung erklärt werden kann. Childs sagte Das Register,”ein Leck ist hier irgendwo passiert. Das Hinweis auf das Fortschritt des Wissens war der Schlüssel. Laut Childs könnte jeder mit diesen Informationen „erkennen, dass dies eine einfache Möglichkeit ist, daran vorbei zu kommen.“ So können sie präventiv eine Problemumgehung entwickeln. Satnam Narang von haltbaren Forschungen stellte fest, dass es für Angreifer nicht unmöglich ist, den Fehler selbst zu finden, vielleicht von modernen Werkzeugen. Er sagte dem Register:”Es ist schwierig zu sagen, was Domino fallen musste, damit diese Bedrohungsakteure diese Fehler in freier Wildbahn nutzen können.”Bei der Befragung gab ein Sprecher eine allgemeine Erklärung ab und sagte:”Im Rahmen unseres Standardprozesses werden wir diesen Vorfall überprüfen, Bereiche finden, um diese Verbesserungen zu verbessern, und diese Verbesserungen im Großen und Ganzen anwenden.”Dies lässt die kritische Frage, wie die Angreifer ihren Vorsprung offiziell unbeantwortet haben. In einem detaillierten Bericht wurde die Untersuchung von Microsoft identifiziert, zwei etablierte, mit”_ Blanko identifizierte”-Enploitation, mit”Blanko identifiziert”. Neuere Entität wurde als Storm-2603 als die wichtigsten Schuldigen hinter der Kampagne verfolgt.
Dies sind keine unbekannten Schauspieler. Laut Microsoft ist Leinentyphoon seit mindestens 2012 aktiv und konzentriert sich auf Diebstahl von geistigem Eigentum, während Violet Taifun, das erstmals 2015 beobachtet wurde, als „Spionage der Spionage gewidmet“ bezeichnet wird. Dies entspricht dem anfänglichen Targeting von staatlichen und hochwertigen Unternehmensnetzwerken, einem Kennzeichen für fortgeschrittene anhaltende Bedrohungen (APT). Diese Verwundbarkeit.”Diese Zuschreibung fügt eine signifikante geopolitische Dimension hinzu, die frühere Haupthacks von Microsoft-Produkten wiederholt. Die chinesische Regierung hat jedoch die Anschuldigungen fest verweigert. In einer formellen Erklärung sagte der Sprecher des chinesischen Außenministeriums Guo Jiakun: „China widerspricht Hacking-Aktivitäten gemäß dem Gesetz. Gleichzeitig lehnen wir uns gegen China gegen China aus, unter der Entschuldigung von Cybersicherheit.”Am 23. Juli bestätigte Microsoft, dass die Storm-2603-Gruppe den gleichen Exploit zu . Diese Eskalation erhöht dramatisch die Einsätze für unpatchierte Organisationen und verlagert die primäre Bedrohung durch verdeckte Datendiebstahl auf offene operative Lähmung und finanzielle Erpressung. Angreifer können die Sicherheitsfixes schnell umgehen. Forscher glauben, dass die Bedrohungsakteure eine Technik namens”Patch Diffing”verwendet haben, um das Sicherheitsupdate von Microsoft zu analysieren, das einen verwandten Fehler beheben sollte, exfiltrate Die kryptografischen Maschinenschlüssel des Servers . Dies sind die Master-Anmeldeinformationen, die das staatliche Managementsystem der SharePoint Farm zur Validierung und Entschlüsselung von Sitzungsdaten verwendet. Durch den Besitz dieser Schlüssel können Angreifer gültige `__ViewState`-Nutzlasten generieren und jede authentifizierte Anforderung effektiv in einen potenziellen Remote-Code-Ausführungsvektor verwandeln. Dies gewährt ihnen eine tiefgreifende und anhaltende Kontrolle, die schwer zu erkennen ist. Während das Forschungsteam bei Eye Security warnt, „ermöglichen diese Schlüssel Angreifer, Benutzer oder Dienste auszugeben, selbst nachdem der Server gepatcht wurde. So löst das Patching das Problem also nicht.“ Dieses kritische Detail bedeutet, dass jeder Server, der vor dem Patch gefasst wird, anfällig bleibt, bis weitere Maßnahmen ergriffen werden. Das einfache Anwenden des neuen Sicherheits-Updates reicht nicht aus, um Angreifer zu vertreiben, die bereits gegen einen Server verletzt haben. Microsoft hat betont, dass Organisationen auch den entscheidenden zweiten Schritt ausführen müssen: “>”>”>”>”>”>”>”>”>”>”>”>”>”>”>”>”>”ASP.NN.NET MACKE KAUKLINGEN KLEINEN”.”Dieses Verfahren erzeugt neue kryptografische Schlüssel und macht die alten ungültig und sperrt effektiv alle Eindringlinge aus, die sie bereits gestohlen und Persistenz im Netzwerk festgelegt haben. Microsoft, der zunächst die Bedrohung eindämmt, bevor ein Patch fertig war, veröffentlichte am 20. Juli erstmals dringende Leitlinien für die Erkrankung, um die Administratoren zu ermöglichen, bestimmte Sicherheitsfunktionen zu ermöglichen und ihre Serverschlüssel zu drehen. Nur einen Tag später, am 21. Juli, veröffentlichte das Unternehmen für alle betroffenen SharePoint-Versionen Notaufnahmen außerhalb des Bandes. (CISA) ergriffen entschlossene Maßnahmen. Die Agentur “>”>”>”>”>”>”>”>”>”>”> (Kev) Katalog , eine Liste von Mängel, von denen bekannt ist, dass sie von Gegnern aktiv verwendet werden. CISA gab eine verbindliche Richtlinie heraus, in der alle bundesstaatlichen Zivilbehörden bis zum 21. Juli angewendet wurden, um Microsoft-Patches und Sanierungsschritte anzuwenden. Dies signalisierte die höchste Dringlichkeit. Code über das Netzwerk ausführen.”400 Firmen nach Angaben der Cybersecurity Firma Eye Security . Der Verstoß von hochkarätigen Regierungszielen, einschließlich des Ministeriums für Heimatschutz und der National Nuclear Security Administration (NNSA), unterstrich die Schwere der Bedrohung der nationalen Infrastruktur. und könnte entlarvt worden sein.”Diese Entwicklung demokratisierte effektiv den ausgeklügelten Angriff und machte sie zu einer viel breiteren Spektrum weniger qualifizierter Cyberkriminaler und Ransomware-Banden zugänglich. Sicherheitsexperten warnten, dass dies wahrscheinlich eine massive Welle automatisierter, wahlloser Angriffe gegen verbleibende nicht enttäuschte Systeme auslösen würde und Tausende weitere Organisationen sofortiges Risiko darstellen.