Nagpakita ng isang potent sharepoint na sinasamantala ng chain sa buong detalye sa kumpetisyon ng pwn2own Ang Microsoft, na nagsisimula ng isang 90-araw na orasan para sa isang patch. Dalawang linggo bago, noong Hunyo 24, ibinahagi nito ang mga detalye ng advance ng mga kahinaan at mga patch sa mga pinagkakatiwalaang kasosyo sa Microsoft Active Protection Program (MAPP). Ang layunin ng Mapp ay upang bigyan ang mga nagtitinda ng seguridad ng isang ulo sa pagbuo ng mga proteksyon para sa kanilang mga customer.
Nagtatalo siya na ang mga umaatake ay may kritikal na pagsisimula ng ulo na hindi maipaliwanag sa pamamagitan ng reverse-engineering ang patch pagkatapos ng paglabas nito. Mga bata sinabi mo Ang rehistro,”isang leak ang nangyari dito sa isang lugar. At ngayon nakakuha ka ng isang zero-araw na sinasamantala sa wild, at mas masahol pa kaysa sa iyo, nakakuha ka ng isang zero-araw na nasasamantala sa wild na ang ligaw na iyon, at ang isang zero-araw na nasasamantala sa wild na ang wild na iyon ay nasasamantala sa ligaw na sa wild na ang isang wild-wild-wild na iyon ay nasasamantala sa wild na ang isang zero-Ang patch…”, na nagmumungkahi ng paunang kaalaman ay ang susi. Ayon sa mga bata, ang sinumang may impormasyong ito ay”masasabi na ito ay isang madaling paraan upang maipasa ito,”na nagpapahintulot sa kanila na mag-preemptively engineer ng isang workaround. Ang Satnam Narang ng Tenable Research ay nabanggit na hindi imposible para sa mga umaatake na natagpuan ang kamalian sa kanilang sarili, marahil ay tinulungan ng mga modernong tool. Sinabi niya sa rehistro,”Mahirap sabihin kung ano ang dapat mahulog ni Domino upang ang mga banta na ito ay maaaring magamit ang mga bahid na ito sa ligaw.”Kapag pinag-uusapan, ang isang tagapagsalita ay nagbigay ng isang pangkalahatang pahayag, na nagsasabing,”Bilang bahagi ng aming pamantayang proseso, susuriin namin ang pangyayaring ito, maghanap ng mga lugar upang mapabuti, at mailapat ang mga pagpapabuti na iyon.”Nag-iiwan ito ng kritikal na tanong kung paano opisyal na sinimulan ng mga umaatake ang kanilang ulo. Sa isang detalyadong ulat, ang pagsisiyasat ng Microsoft . Ang pagtaas na ito ay kapansin-pansing itinaas ang mga pusta para sa mga hindi naipalabas na mga organisasyon, paglilipat ng pangunahing banta mula sa pagnanakaw ng data ng covert upang maabutan ang pagpapatakbo ng paralisis at pang-aapi sa pananalapi. Nagpapakita kung paano ang mga determinadong umaatake ay maaaring mabilis na maiiwasan ang mga pag-aayos ng seguridad. Naniniwala ang mga mananaliksik na ang mga aktor ng banta ay gumagamit ng isang pamamaraan na tinatawag na”patch diffing”upang pag-aralan ang pag-update ng seguridad ng Microsoft, na inilaan upang ayusin ang isang kaugnay na flaw, cve-225-49706 . Sa pamamagitan ng paghahambing ng code bago at pagkatapos ng patch, tinukoy nila ang eksaktong pagbabago at inhinyero ng isang bagong pagsasamantala na nakamit ang parehong nakakahamak na kinalabasan sa pamamagitan ng isang alternatibong landas. Sa halip na mag-deploy ng isang tipikal, interactive na webshell, ang mga umaatake ay nagtatanim ng isang maliit, naka-target na file ng script na pinangalanang spinstall0.aspx sa isang nakompromiso na server. Ang seguridad ng seguridad ng mata, na unang nakita ang kampanya, ay nabanggit,”Hindi ito ang iyong karaniwang webshell. Walang mga interactive na utos, reverse shell, o command-and-control logic.”Ang nag-iisang layunin nito ay ang I-exfiltrate ang mga key ng machine machine ng server . Sila ang mga master credentials na ginagamit ng sistema ng pamamahala ng estado ng SharePoint Farm upang mapatunayan at i-decrypt ang data ng session. Sa pamamagitan ng pagkakaroon ng mga key na ito, ang mga umaatake ay maaaring makabuo ng wastong `__ViewState` na mga payload, na epektibong pag-on ng anumang napatunayan na kahilingan sa isang potensyal na remote code na pagpapatupad ng vector. Binibigyan sila ng isang malalim at patuloy na antas ng kontrol na mahirap makita. Habang binabalaan ang koponan ng pananaliksik sa Eye Security,”Pinapayagan ng mga key na ito ang mga umaatake na makipag-ugnay sa mga gumagamit o serbisyo, kahit na matapos ang server ay naka-patched. Kaya’t ang pag-patching lamang ay hindi malulutas ang isyu.”Ang kritikal na detalye na ito ay nangangahulugan na ang anumang server na nakompromiso bago ma-patched ay nananatiling mahina hanggang sa karagdagang pagkilos. Ang paglalapat lamang ng bagong pag-update ng seguridad ay hindi sapat upang palayasin ang mga umaatake na nilabag na ang isang server. Binigyang diin ng Microsoft na ang mga organisasyon ay dapat ding magsagawa ng mahalagang pangalawang hakbang: