Un ricercatore di sicurezza suggerisce una perdita da un programma di partner Microsoft alimentato la massiccia campagna di hacking di SharePoint che ha compromesso oltre 400 organizzazioni. Dustin Childs of Trend Micro’s Zero Day Initiative Highlights secondo cui gli attacchi che sfruttano il difetto zero-day sono iniziati prima che Microsoft rilasci la sua patch ufficiale.
Questo tempismo mette in dubbio la teoria secondo cui gli aggressori semplicemente ingegningono la correzione dopo la sua uscita. Indica una perdita di informazioni sulla patch pre-release, che hanno permesso agli attori delle minacce di elaborare un exploit di bypass con una velocità allarmante. L’incidente è aumentato da spionaggio al ransomware.
Una perdita pre-patch? La caccia all’origine di Exploit
la controversia è incentrata su una sequenza temporale che gli esperti di sicurezza trovano profondamente sospettosi, indicando non un brillante pezzo di hacking indipendente ma a una potenziale perdita in profondità all’interno del processo di divulgazione di Microsoft. La storia inizia il 15 maggio, quando un ricercatore ha dimostrato una potente catena esplosiva sharePoint a PWN2 Microsoft, starting a 90-day clock for a patch.
Following standard procedure, Microsoft prepared a fix for its July 8 Patch Tuesday. Due settimane prima, il 24 giugno, ha condiviso i dettagli anticipati delle vulnerabilità e delle patch con partner di fiducia nel suo programma Microsoft Active Protection (MAPP). L’obiettivo di MAPP è quello di dare ai venditori di sicurezza un vantaggio sulla costruzione di protezioni per i loro clienti.
Tuttavia, le prove dimostrano che lo sfruttamento di una nuova, zero-day correlati (CVE-2025-53770) è iniziata in natura.
Sostiene che gli aggressori avevano un vantaggio critico che non può essere spiegato dall’ingegneria inversa dopo la sua liberazione. Childs hai detto a un registro selvaggio,”è successo qui da qualche parte. Patch…”, suggerendo che la conoscenza anticipata era la chiave.
La”teoria delle perdite”pone che gli attori delle minacce hanno ottenuto i dati MAPP sensibili, che non solo hanno dettagliato il difetto originale, ma ha anche rivelato che Microsoft specifico e ristretto lo stava sistemando. Secondo Childs, chiunque abbia queste informazioni”sarebbe in grado di dire che questo è un modo semplice per superarlo”, permettendo loro di progettare preventivamente una soluzione alternativa.
Mentre la sequenza temporale è altamente suggestiva, altri ricercatori offrono possibilità alternative. Satnam Narang di Tenable Research ha notato che non è impossibile per gli aggressori aver trovato il difetto da solo, forse aiutato da strumenti moderni. Ha detto al registro:”È difficile dire ciò che Domino ha dovuto cadere in modo che questi attori delle minacce siano in grado di sfruttare questi difetti in natura”.
Per la sua parte, Microsoft è rimasto a bassa labbra sulla speculazione delle perdite. Quando viene interrogato, un portavoce ha fornito una dichiarazione generale, dicendo:”Come parte del nostro processo standard, esamineremo questo incidente, troveremo aree per migliorare e applicare tali miglioramenti in senso lato”. Questo lascia la domanda critica di come gli aggressori abbiano ottenuto il loro vantaggio ufficiale senza risposta.
Dall’espionage al ransomware: i gruppi di collegamento cinese incolpavano di attacchi
come i dettagli tecnici dell’exploit emergono, Microsoft e Google Mandiant attribuivano l’onda iniziale di attacchi a più cinesi-sponsorizzati dallo stato. In a detailed report, Microsoft’s investigation identified two established crews, Linen Typhoon and Violet Typhoon, alongside Una nuova entità tracciata come Storm-2603 , come i principali colpevoli dietro la campagna.
Questi non sono attori sconosciuti. Secondo Microsoft, Linen Typhoon è stato attivo almeno il 2012 con particolare attenzione al furto di proprietà intellettuale, mentre Violet Typhoon, osservato per la prima volta nel 2015, è descritto come”dedicato allo spionaggio”. Ciò si allinea con il targeting iniziale del governo e delle reti aziendali di alto valore, un segno distintivo di operazioni avanzate di minaccia persistente (APT).
Il CTO di Mandiant, Charles Carmakal, ha corroborato in modo indipendente le conclusioni, affermiamo che più attivi sono critici per aver attivato gli attori attivi. vulnerabilità.”Questa attribuzione aggiunge una significativa dimensione geopolitica, facendo eco ai precedenti principali hack di prodotti Microsoft incolpati anche di Cina.
Il governo cinese, tuttavia, ha fermamente negato le accuse. In una dichiarazione formale, il portavoce del Ministero degli Esteri cinese Guo Jiakun ha dichiarato:”La Cina si oppone e combatte le attività di hacking in conformità con la legge. Allo stesso tempo, ci opponiamo alle sbavature e agli attacchi contro la Cina sotto la scusa di problemi di sicurezza informatica”, spingendo più le affermazioni di Microsoft e U.S. Funzionari. giro. Il 23 luglio, Microsoft ha confermato che il gruppo Storm-2603 stava usando lo stesso exploit a . Questa escalation aumenta drasticamente la posta in gioco per organizzazioni non patch, spostando la minaccia primaria dal furto di dati segreti alla paralisi operativa palese ed estorsione finanziaria.
Anatomia dell’attacco: un sofisticato bypass patch di patch. In che modo gli aggressori determinati possono eludere rapidamente correzioni di sicurezza. Researchers believe the threat actors used a technique called “patch diffing”to analyze Microsoft’s July security update, which was meant to fix a related flaw, CVE-2025-49706. Confrontando il codice prima e dopo la patch, hanno individuato l’esatto cambiamento e progettato un nuovo exploit che ha raggiunto lo stesso risultato dannoso attraverso un percorso alternativo.
Il metodo di attacco stesso è pericolosamente furtivo e progettato per la persistenza a lungo termine. Invece di distribuire un tipico webshell interattivo, gli aggressori piantano un piccolo file di script mirato chiamato spinstall0.aspx su un server compromesso. La società di sicurezza Eye Security, che ha rilevato per la prima volta la campagna, ha osservato:”Questo non era il tuo tipico webshell. Non c’erano comandi interattivi, shell inverse o logica di comando e controllo.”Il suo unico scopo era quello di Exfiltrate le chiavi della macchina crittografica del server .
rubare queste chiavi è molto più pericoloso di un semplice server compromesso. Sono le credenziali principali utilizzate dal sistema di gestione dello stato della SharePoint Farm per convalidare e decrittografare i dati delle sessioni. Possedendo queste chiavi, gli aggressori possono generare payload `__viewstate` validi, trasformando efficacemente qualsiasi richiesta autenticata in un potenziale vettore di esecuzione del codice remoto. Ciò garantisce loro un livello di controllo profondo e persistente che è difficile da rilevare.
Questo metodo assicura che gli aggressori possano mantenere l’accesso anche dopo che un’organizzazione ha applicato la patch di emergenza di Microsoft. Come avverte il team di ricerca di Eye Security,”queste chiavi consentono agli aggressori di impersonare utenti o servizi, anche dopo che il server è stato patchato. Quindi il patching da solo non risolve il problema”. Questo dettaglio critico significa che qualsiasi server compromesso prima di essere patchato rimane vulnerabile fino a quando non vengono intraprese ulteriori azioni.
Di conseguenza, la bonifica è un processo complesso in due fasi. Basta applicare il nuovo aggiornamento di sicurezza non è sufficiente per sfrattare gli aggressori che hanno già violato un server. Microsoft ha sottolineato che le organizzazioni devono anche eseguire il secondo passo cruciale: ruotando le loro macchine di marca . Questa procedura genera nuove chiavi crittografiche e invalida quelle vecchie, bloccando efficacemente tutti gli intrusi che li hanno già rubati e stabilito la persistenza sulla rete.
Microsoft e CISA Riduci come il taglio della vittima su entrambi i talli della vittima su entrambi i talli della vittima su entrambi i talli della vittima su entrambi i talli della vittima su entrambi i talli della vittima su entrambi i talli della vittima che superano gli Stati Uniti. Inizialmente rimescolando per contenere la minaccia prima che una patch fosse pronta, Microsoft ha pubblicato per la prima volta una guida di mitigazione urgente il 20 luglio, consigliando agli amministratori di consentire caratteristiche di sicurezza specifiche e ruotare le chiavi del server. Solo un giorno dopo, il 21 luglio, la società ha rilasciato emergenza, aggiornamenti di sicurezza fuori banda per tutte le versioni di SharePoint on-premise interessate.
In una dichiarazione che riconosce la gravità dell’incidente, un portavoce di Microsoft ha dichiarato:”Come parte del nostro processo standard, esamineremo questo incidente, troveremo aree per migliorare e applicare quei improvvisazioni ampiamente.”(CISA) ha intrapreso un’azione decisiva. L’agenzia , Un elenco di difetti noti per essere attivamente utilizzato dagli avversari. La CISA ha emesso una direttiva vincolante ordinando a tutte le agenzie civili federali di applicare le patch e le misure di bonifica di Microsoft entro il 21 luglio, segnalando il più alto livello di urgenza.
Nel suo avviso, la CISA ha spiegato il pericolo in termini di punta, affermando i contenuti di SharePoint, affermando i contenuti di SharePoint, affermando i contenuti di SharePoint… Codice sulla rete.”
La direttiva federale è arrivata quando l’elenco delle vittime è salito alle stelle da una dozzina a . La violazione degli obiettivi del governo di alto profilo, tra cui il Dipartimento per la sicurezza nazionale e la National Nuclear Security Administration (NNSA), ha sottolineato la gravità della minaccia per le infrastrutture nazionali.
con meno cure e potrebbe essere stata esposta.”
La situazione è stata ulteriormente infiammata il 21 luglio con rilascio pubblico di una prova di-concept (POC) Exploit su Github . Questo sviluppo ha effettivamente democratizzati l’attacco sofisticato, rendendolo accessibile a una gamma molto più ampia di bande criminali criminali e ransomware meno qualificati. Gli esperti di sicurezza hanno avvertito che ciò avrebbe probabilmente innescato un’enorme ondata di attacchi automatizzati e indiscriminati contro qualsiasi sistema rimanente non impazieto, mettendo a rischio immediatamente migliaia di organizzazioni.
In una dichiarazione che riconosce la gravità dell’incidente, un portavoce di Microsoft ha dichiarato:”Come parte del nostro processo standard, esamineremo questo incidente, troveremo aree per migliorare e applicare quei improvvisazioni ampiamente.”(CISA) ha intrapreso un’azione decisiva. L’agenzia , Un elenco di difetti noti per essere attivamente utilizzato dagli avversari. La CISA ha emesso una direttiva vincolante ordinando a tutte le agenzie civili federali di applicare le patch e le misure di bonifica di Microsoft entro il 21 luglio, segnalando il più alto livello di urgenza.
Nel suo avviso, la CISA ha spiegato il pericolo in termini di punta, affermando i contenuti di SharePoint, affermando i contenuti di SharePoint, affermando i contenuti di SharePoint… Codice sulla rete.”
La direttiva federale è arrivata quando l’elenco delle vittime è salito alle stelle da una dozzina a . La violazione degli obiettivi del governo di alto profilo, tra cui il Dipartimento per la sicurezza nazionale e la National Nuclear Security Administration (NNSA), ha sottolineato la gravità della minaccia per le infrastrutture nazionali.
con meno cure e potrebbe essere stata esposta.”
La situazione è stata ulteriormente infiammata il 21 luglio con rilascio pubblico di una prova di-concept (POC) Exploit su Github . Questo sviluppo ha effettivamente democratizzati l’attacco sofisticato, rendendolo accessibile a una gamma molto più ampia di bande criminali criminali e ransomware meno qualificati. Gli esperti di sicurezza hanno avvertito che ciò avrebbe probabilmente innescato un’enorme ondata di attacchi automatizzati e indiscriminati contro qualsiasi sistema rimanente non impazieto, mettendo a rischio immediatamente migliaia di organizzazioni.
