Het installeren van updates initiëren eenvoudig het herstelproces, omdat de infecties de aanvallers in staat stellen authenticatiecertificaten te sluiten die een brede toegang geven tot verschillende gevoelige bronnen in elk gecompromitteerd netwerk. Meer over deze aanvullende stappen later in dit artikel.
Zaterdag, onderzoekers van het beveiligingsbureau i beveiliging Rapport “Tijdens de twee golven van de aanval werden enkele tientallen systemen actief gecompromitteerd, 18 juli, 18:00 UTC en op 19 juli rond 07:30 tot UTC.” De systemen die over de hele wereld werden verspreid, werden gehackt met behulp van de geabsorbeerde zwakte en vervolgens besmet door een op webshell gebaseerde backdoor genaamd Toolgel. Onderzoekers van de oogbescherming zeggen dat de achterdeur toegang kon krijgen tot de maximale gevoelige delen van een SharePoint -server en van daaruit toegestane tokens waarmee hun code hun bereik naar de netwerken van de aanvallers kan uitbreiden.
Oogbeschermingsonderzoekers schreven: “Het was niet uw gemeenschappelijke webshell.” “Hier was geen interactieve opdracht, reverse shell of command-control argument. In plaats daarvan werd de pagina opgeroepen voor interne .NET-procedures om de SharePoint Server-machine-configuratie met legalisatie te lezen. Deze toetsen zijn geldig om een geldige __ vyoste-lading te maken.
De externe code -uitvoering is mogelijk door de exploitatie te gebruiken om zich te richten op de gegevensstructuur en objecten die kunnen worden vertaald of omgezet in de formaten die later kunnen worden gereorganiseerd, bekend als een proces SerialisatieDe ay SharePoint -zwakte In 2021 was het mogelijk om het rationele argument voor injectie van objecten in Microsoft -pagina’s in 2021 te misbruiken. Dit gebeurde omdat de SharePoint de validatietoets gebruikte die werd opgeslagen in de configuratie van de machine, met behulp van de ASPNET ViewState -objecten. Het kan de aanvallers in staat stellen de aandelen van de SharePoints zonder onderscheid uit te putten en de ingebedde opdrachten uit te voeren. Deze exploits werden natuurlijk beperkt door de noodzaak om een geldige handtekening te genereren, wat resulteert in de geheime validatiesleutel van de server vereist toegang tot de sleutel.
