يعد تثبيت التحديثات بداية عملية الاسترداد فقط ، نظرًا لأن الالتهابات تتيح للمهاجمين القيام ببيانات اعتماد المصادقة التي تتيح وصولًا واسعًا إلى مجموعة متنوعة من الموارد الحساسة داخل شبكة معرضة للخطر. المزيد عن تلك الخطوات الإضافية في وقت لاحق في هذه المقالة.
في يوم السبت ، أفاد باحثون من شركة الأمن أمن العيون “عثروا على عشرات الأنظمة للخطر بنشاط خلال موجتين من الهجوم ، في 18 يوليو حوالي الساعة 18:00 بالتوقيت العالمي و 19 يوليو حوالي الساعة 07:30 بالتوقيت العالمي.” تم اختراق الأنظمة ، المنتشرة في جميع أنحاء العالم ، باستخدام الضعف المستغلة ثم المصاب بأوراق خلفية قائم على الويب يسمى Toolsell. قال باحثو أمن العيون إن الباب الخلفي كان قادرًا على الوصول إلى الأجزاء الأكثر حساسية من خادم SharePoint ومن هناك استخراج الرموز التي سمحت لهم بتنفيذ التعليمات البرمجية التي تتيح للمهاجمين توسيع نطاق وصولهم إلى الشبكات.
وكتب باحثو أمن العيون: “لم يكن هذا موقع الويب النموذجي الخاص بك”. “لم تكن هناك أوامر تفاعلية ، أو قذائف عكسية ، أو منطق للأمر والسيطرة. بدلاً من ذلك ، استدعت الصفحة أساليب .NET داخلية لقراءة تكوين آلات Machine لخادم SharePoint ، بما في ذلك مفاتيح ValidayKey.
يتم إجراء تنفيذ الكود عن بُعد باستخدام الاستغلال لاستهداف الطريقة التي يترجم بها SharePoint هياكل البيانات وحالات الكائنات إلى تنسيقات يمكن تخزينها أو نقلها ثم إعادة بنائها لاحقًا ، وهي عملية تعرف باسم التسلسل. لقد جعلت Microsoft Microsoft التي تم إصلاحها في عام 2021 من الممكن إساءة استخدام منطق تحليل الكائنات في صفحات. حدث هذا لأن SharePoint Run ASP.NET ViewState كائنات باستخدام مفتاح توقيع ValidationKey ، والذي يتم تخزينه في تكوين الجهاز. هذا يمكن أن يمكّن المهاجمين من التسبب في تمييز الكائنات التعسفية وتنفيذ الأوامر المدمجة. ومع ذلك ، كانت هذه المآثر محدودة بمتطلبات إنشاء توقيع صالح ، والذي يتطلب بدوره الوصول إلى ValidationKey الخاص بالخادم.
