Fushata masive e Microsoft SharePoint Zero-Day Hacking duket se ushqehet nga detajet e rrjedhura të patch

Një studiues i sigurisë sugjeron një rrjedhje nga një program partner i Microsoft nxiti fushatën masive të hakerave të SharePoint që ka kompromentuar mbi 400 organizata. Nisma e Dustin Childs of Trend Micro’s Zero Day thekson se sulmon duke shfrytëzuar të metën e ditës zero filloi para se Microsoft të lëshonte copëzën e saj zyrtare. Tregon një rrjedhje të informacionit për patch para-lëshimit, i cili lejoi aktorët e kërcënimit të krijojnë një shfrytëzim të anashkalimit me shpejtësi alarmante. Incidenti që nga ajo kohë është përshkallëzuar nga spiunazhi në ransomware.

një rrjedhje para-Patch? Gjuetia për origjinën e shfrytëzimit

Qendrat e polemikave në një afat kohor që ekspertët e sigurisë e shohin thellësisht të dyshimtë, duke treguar jo një pjesë të shkëlqyeshme të hakimit të pavarur, por për një rrjedhje të mundshme të thellë brenda procesit të zbulimit të vetë Microsoft. Historia fillon më 15 maj, kur një studiues demonstroi një zinxhir të fuqishëm të shfrytëzimit të sharepit në një zinxhir të plotë të komponimit të PWN2own. Microsoft, duke filluar një orë 90-ditore për një copë toke. Dy javë më parë, më 24 qershor, ajo ndau detaje paraprake të dobësive dhe arna me partnerë të besuar në Programin e tij të Mbrojtjes Aktive të Microsoft (MAPP). Qëllimi i MAPP është t’u japë shitësve të sigurisë një fillim në mbrojtjen e ndërtimit për klientët e tyre.

Ai argumenton se sulmuesit kishin një fillim kritik të kokës që nuk mund të shpjegohet duke inxhinieruar në të kundërt patch pas lëshimit të saj. Childs

Ndërsa afati kohor është shumë sugjerues, studiuesit e tjerë ofrojnë mundësi alternative. Satnam Narang i hulumtimeve të qëndrueshme vuri në dukje se nuk është e pamundur që sulmuesit të kenë gjetur të metën e tyre, mbase të ndihmuar nga mjetet moderne. Ai i tha Regjistrit,”difficultshtë e vështirë të thuash atë që Domino duhej të binte në mënyrë që këta aktorë të kërcënimit të jenë në gjendje të përdorin këto të meta në natyrë.”Kur u mor në pyetje, një zëdhënës dha një deklaratë të përgjithshme, duke thënë,”Si pjesë e procesit tonë standard, ne do të rishikojmë këtë incident, do të gjejmë zona për të përmirësuar dhe t’i zbatojmë ato përmirësime gjerësisht”. Kjo lë pyetjen kritike se si sulmuesit filluan kokën e tyre zyrtarisht pa përgjigje. Në një raport të detajuar, hetimi i Microsoft . Kjo përshkallëzim ngre në mënyrë dramatike aksionet për organizatat e pa kontrolluara, duke zhvendosur kërcënimin parësor nga vjedhjet e të dhënave të fshehta në paralizën e hapur operacionale dhe zhvatjen financiare. Sulmuesit mund të anashkalojnë me shpejtësi rregullimet e sigurisë. Studiuesit besojnë se aktorët e kërcënimit përdorën një teknikë të quajtur”Patch Diffing”për të analizuar azhurnimin e sigurisë së korrikut të Microsoft, i cili kishte për qëllim të rregullonte një të metë të lidhur, cve-2025-49706 Duke krahasuar kodin para dhe pas patch, ata shënuan ndryshimin e saktë dhe krijuan një shfrytëzim të ri që arriti të njëjtin rezultat dashakeq përmes një rruge alternative. Në vend që të vendosni një uebfaqe tipike, interaktive, sulmuesit mbjellin një skedar të vogël skripti, të synuar, të quajtur Spinstall0.aspx në një server të kompromentuar. Firma e sigurisë së sigurisë së sigurisë, e cila zbuloi për herë të parë fushatën, vuri në dukje,”Kjo nuk ishte faqja juaj tipike në internet. Nuk kishte komanda interaktive, predha të kundërta ose logjikë të komandës dhe kontrollit.”Qëllimi i vetëm i tij ishte të eksfiltroni çelësat e makinerisë kriptografike të serverit . Ato janë kredencialet master të përdorura nga sistemi shtetëror i menaxhimit të fermës SharePoint për të vërtetuar dhe deshifruar të dhënat e seancës. Duke poseduar këto çelësa, sulmuesit mund të gjenerojnë ngarkesa të vlefshme `__ViewState, duke shndërruar në mënyrë efektive çdo kërkesë të vërtetuar në një vektor të mundshëm të ekzekutimit të kodit të largët. Kjo u jep atyre një kontroll të thellë dhe të vazhdueshëm të kontrollit që është i vështirë për tu zbuluar. Ndërsa ekipi i hulumtimit në Sytë e Sigurisë paralajmëron,”Këto çelësa lejojnë sulmuesit të dëmtojnë përdoruesit ose shërbimet, edhe pasi serveri të jetë rregulluar. Kështu që Patching vetëm nuk e zgjidh çështjen”. Ky detaj kritik do të thotë që çdo server i kompromentuar para se të arrihet mbetet i prekshëm derisa të ndërmerret veprimi i mëtutjeshëm.

Si pasojë, riparimi është një proces kompleks, me dy hapa. Thjesht aplikimi i azhurnimit të ri të sigurisë nuk është i mjaftueshëm për të dëbuar sulmuesit që tashmë kanë shkelur një server. Microsoft ka theksuar se organizatat duhet të kryejnë gjithashtu hapin e dytë thelbësor: Blanking”Kjo procedurë gjeneron çelësa të rinj kriptografikë dhe i zhvlerëson të vjetrat, duke mbyllur në mënyrë efektive çdo ndërhyrës që tashmë i kanë vjedhur ato dhe kanë vendosur këmbëngulje në rrjet. autoritetet. Fillimisht duke u përplasur të përmbajë kërcënimin para se një copë toke të ishte gati, Microsoft për herë të parë publikoi udhëzime urgjente për zbutjen më 20 korrik, duke këshilluar administratorët që të mundësojnë veçori specifike të sigurisë dhe të rrotullojnë çelësat e tyre të serverit. Vetëm një ditë më vonë, më 21 korrik, kompania lëshoi azhurnime të urgjencës, jashtë bandës për të gjitha versionet e prekura nga premisë. (CISA) ndërmori një veprim vendimtar. Agjensia shtuar cve-2025-5377 (KEV) Katalogu , një listë e të metave që dihet se përdoren në mënyrë aktive nga kundërshtarët. CISA lëshoi një direktivë detyruese duke urdhëruar të gjitha agjencitë civile federale të zbatojnë arna të Microsoft dhe hapat e riparimit deri më 21 korrik, duke sinjalizuar nivelin më të lartë të urgjencës. Ekzekutoni kodin mbi rrjetin.”

Direktiva federale erdhi ndërsa lista e viktimave u rrit nga disa duzina në . Shkelja e objektivave të qeverisë së profilit të lartë, përfshirë Departamentin e Sigurisë së Brendshme dhe Administratën Kombëtare të Sigurisë Bërthamore (NNSA), nënvizoi gravitetin e kërcënimit për infrastrukturën kombëtare.