Et datamaskinangrep av global skala har målrettet offentlige etater og selskaper på minst tre kontinenter, og utnyttet en farlig Faen det på Microsoft SharePoint -servere installert lokalt. Å rapportere nyhetene var Washington Postsiterer noen informerte forskere. Inntrengingsvektoren er en sårbarhet kjent som Verktøyshellen kritisk feil (preget av koden CVE-2025-53770) som tillater utførelse av ekstern kode av ikke -autentiserte brukere. Denne typen angrep, definert «Null-dag» Fordi han bruker en ukjent svakhet på tidspunktet for slag, har han det kompromiss minst 85 servere som tilhører 29 organisasjonernoen regjering andre private. Microsoft har gitt ut en oppdatering bare for noen versjoner av programvaren, mens andre forblir sårbare. Undersøkelsene, koordinert av IT -sikkerhetsbyråene i USA, Canada og Australia, pågår fortsatt. I mellomtiden har et løp mot tid blitt startet for å dempe skader og forhindre ytterligere inntrenginger.
Verktøyshell: Sårbarheten som startet alt
Hjertet i problemet ligger i Microsoft SharePoint Serveren plattform som lar organisasjoner administrere, arkivere og dele dokumenter internt. Den foul utnyttes, klassifisert med en rangeringsscore CVSS (Vanlig sårbarhetsscoringssystem) lik 9,8 av 10lar en ekstern bruker utføre kontroller i systemet selv før noen form for autentisering finner sted. Dette er mulig på grunn av en prosess som heter Usikker ørkeniseringder eksterne data, ikke bekreftet, blir tolket og transformert til programvareobjekter. I dette tilfellet er det sårbare sluttpunktet blitt identifisert i «Verktøypane.aspx«, Derav navnverktøyet til hele kampanjen.
Når du har fått tilgang, lastet angriperne en nyttelast (dvs. et lite ondsinnet program) gjennom PowerShell – et automatiseringsverktøy som er mye brukt av systemadministratorer – for å trekke fra kritisk informasjon fra serveren, inkludert MachineKeyeller nøklene som ble brukt til å signere og dechiffrere de interne dataene til SharePoint -serveren. Spesielt tillater disse tastene å manipulere mekanismen som heter ViewStateet system som lagrer «tilstanden» på websiden mellom en forespørsel og en annen. Med disse nøklene er hackere i stand til å lage tilsynelatende legitime forespørsler som systemet aksepterer som autentisk, og utfører dermed vilkårlig kode uten begrensninger.
DE’Nasjonalt cybersicacy Agencyforklarer i en offisiell merknad:
Angrepet, som ikke krever autentisering, utføres gjennom HTTP -forespørsler etter posttp som er passende utarbeidet mot ressursen. (…) Denne ressursen bruker et skjult felt kalt __ViewState, brukt til å opprettholde tilstanden på siden mellom de forskjellige HTTP -forespørslene gjennom serialisering av .NET -objekter. Hvis disse dataene ikke er tilstrekkelig signert eller validert, kan en angriper sende inn en ondsinnet nyttelast som, når den er desiarled av serveren, tillater utførelse av vilkårlig kode på det aktuelle systemet.
Hvor alvorlig situasjonen er
Cybersecurity -forskere i selskapet Øyesikkerhethar fremhevet hvor mye Situasjonen er alvorligutarbeide et forhold der de bemerket følgende Fire kritiske punkter.
- Faren er ikke hypotetisk: angripere er i stand til Utfør kontroller eksternt på de berørte serverneved nye sikkerhetstiltak som autentisering til flere faktorer eller MFA (Multifaktorautentisering) og den så -kalt SSO (Enkelt pålogging). Når de er tilgang, kan de vise og endre internt innhold, systemfiler og SharePoint -innstillinger, samt spre seg i Windows -nettverket, og kompromittere andre tilkoblede systemer.
- Et enda mer kritisk aspekt angår Tyveri av kryptografiske tastene som brukes av serveren. Disse elementene lar nettkriminelle simulere identiteten til legitime brukere eller tjenester, selv om systemet er oppdatert med en oppdatering. Av denne grunn er det ikke nok å bruke sikkerhetsoppdateringen: det er nødvendig å erstatte (rotere) alle kryptografiske nøkler for å forhindre at symboler eller tilgang generert av angriperne forblir gyldige.
- I noen tilfeller kan ondsinnede skuespillere Fortsetter i systemet ved å sette inn skjulte tilgangsdører (Bakdør) eller ved å endre programvarekomponentene slik at de også motstår omstart eller oppdateringer. Overfor enhver mistanke om kompromiss, er det derfor viktig å kontakte fagpersoner som er spesialisert på styring av sikkerhetsulykker.
- Siden SharePoint ofte er integrert med andre sentrale tjenester som Outlook, Teams og OneDrive, en Overtredelse kan lett strekke segtilrettelegge for tyveri av sensitive data, få tilgang til legitimasjon og la angripere bevege seg i hele selskapets nettverk.
Hvordan du kan takle situasjonen og forsvare deg mot hackerangrepet
For tiden, Microsoft har gitt ut oppdateringer bare for en del av de interesserte versjoneneerklærer å være på jobb med flere lapper. I mellomtiden anbefales systemadministratorer å Oppdater sårbare produkter (Det vil si Microsoft SharePoint Server abonnementsutgave, Microsoft SharePoint Server 2019 Og Microsoft SharePoint Server 2016) etter de offisielle indikasjonene gitt av Microsoft Og Cisa (Cybersecurity Infrastructure Security Agency).
DE’Nasjonalt cybersicacy Agency Italiensk foreslår også å gjøre følgende:
Overvåke og blokkere forespørsler til verktøypane.aspx som inneholder anomale verdier i __ViewState -feltet; Kontroller at AMSI (Antimalware Scan Interface) sikkerhetsmekanisme er aktiv; Fortsett med rotasjonen av ASP.NET Keys -maskinene.
