Một nhà nghiên cứu bảo mật cho thấy sự rò rỉ từ chương trình đối tác của Microsoft đã thúc đẩy chiến dịch hack SharePoint khổng lồ đã xâm phạm hơn 400 tổ chức. Sáng kiến Dustin Childs of Trend Micro, Zero Day nhấn mạnh rằng các cuộc tấn công khai thác lỗ hổng không ngày bắt đầu trước khi Microsoft phát hành bản vá chính thức của mình. Nó chỉ ra một rò rỉ thông tin vá trước khi phát hành, cho phép các diễn viên đe dọa thực hiện khai thác bỏ qua với tốc độ đáng báo động. Vụ việc đã leo thang từ gián điệp đến ransomware. Việc săn lùng nguồn gốc khai thác
Các trung tâm tranh cãi về một dòng thời gian mà các chuyên gia bảo mật thấy đáng ngờ, chỉ ra một phần hack độc lập xuất sắc mà là một rò rỉ tiềm năng trong quá trình tiết lộ của Microsoft. Câu chuyện bắt đầu vào ngày 15 tháng 5, khi một nhà nghiên cứu
Trong khi dòng thời gian rất gợi ý, các nhà nghiên cứu khác cung cấp các khả năng thay thế. Satnam Narang của nghiên cứu có thể sử dụng lưu ý rằng những kẻ tấn công không thể tự mình tìm thấy lỗ hổng của họ, có lẽ được hỗ trợ bởi các công cụ hiện đại. Anh ta nói với sổ đăng ký, rất khó để nói những gì Domino phải rơi vào thứ tự để các diễn viên đe dọa này có thể tận dụng những sai sót này trong tự nhiên.”Khi được hỏi, người phát ngôn đã đưa ra một tuyên bố chung, nói rằng, Là một phần của quy trình tiêu chuẩn của chúng tôi, chúng tôi sẽ xem xét sự cố này, tìm các khu vực để cải thiện và áp dụng những cải tiến đó một cách rộng rãi.”Điều này để lại câu hỏi quan trọng về cách những kẻ tấn công bắt đầu chính thức chưa được trả lời. Trong một báo cáo chi tiết, cuộc điều tra của Microsoft exfiltrate máy chủ của máy mật mã. Chúng là các thông tin chính được sử dụng bởi hệ thống quản lý nhà nước SharePoint Farm để xác nhận và giải mã dữ liệu phiên. Bằng cách sở hữu các khóa này, kẻ tấn công có thể tạo tải trọng `__viewstate` hợp lệ, biến hiệu quả bất kỳ yêu cầu được xác thực nào thành một vectơ thực thi mã từ xa tiềm năng. Điều này cho họ một mức độ kiểm soát sâu sắc và dai dẳng, khó phát hiện. Là nhóm nghiên cứu tại Eye Security cảnh báo, các phím này cho phép những kẻ tấn công mạo danh người dùng hoặc dịch vụ, ngay cả sau khi máy chủ được vá. Vì vậy, việc vá lỗi một mình không giải quyết được vấn đề.”Chi tiết quan trọng này có nghĩa là bất kỳ máy chủ nào bị xâm phạm trước khi được vá vẫn dễ bị tổn thương cho đến khi thực hiện hành động tiếp theo.
Do đó, khắc phục là một quy trình hai bước phức tạp. Đơn giản chỉ cần áp dụng bản cập nhật bảo mật mới là không đủ để đuổi những kẻ tấn công đã vi phạm máy chủ. Microsoft đã nhấn mạnh rằng các tổ chức cũng phải thực hiện bước thứ hai quan trọng: