Microsoft on julkaissut kiireelliset tietoturvakorjaukset kahdelle nollapäivän haavoittuvuudelle, CVE-2010-53770 ja CVE-2015-53771, mikä vaikuttaa Microsoft SharePointiin. Näitä puutteita on hyödynnetty aktiivisesti ”työkaluskellossa” hyökkäyksissä maailmanlaajuisesti, mikä vaikuttaa yli 54 organisaatioon.
Haavoittuvuudet syntyivät sen jälkeen, kun uhka -näyttelijät ohittivat heinäkuun tiistaina päiviteissä julkaistut korjaukset. Näiden alkuperäisten päivitysten tarkoituksena oli käsitellä ”työkalunshell” nollapäivän haavoittuvuusketju, joka salli etäkoodin suorittamisen Microsoft SharePointissa, joka osoitettiin ensin PWN2OWN-kilpailussa Berliinissä toukokuussa.
Microsoft on julkaissut nopeasti kaistan ulkopuoliset tietoturvapäivitykset Microsoft SharePoint -tilaus Edition ja SharePoint 2019: lle CVE-2015-53770: n ja CVE-2019: n vähentämiseksi. Yhtiö vahvisti, että nämä uudet päivitykset tarjoavat ”vankempia suojauksia” verrattuna CVE-2015-49704: n ja CVE-2015-49706: n aikaisempiin korjauksiin. Microsoft SharePoint Enterprise Server 2016 -päivitys on edelleen vireillä.
SharePoint -järjestelmänvalvojat kehotetaan vahvasti asentamaan nämä kriittiset päivitykset heti: KB5002754 Microsoft SharePoint Server 2019: lle ja KB5002768 Microsoft SharePoint -tilauslehdelle.
Laastarien soveltamisen lisäksi Microsoft kehottaa järjestelmänvalvojia kiertämään SharePoint -koneen näppäimiä. Tämä voidaan tehdä joko manuaalisesti PowerShellin kautta Update-SPMachineKey cmdlet tai keskusjärjestelmän kautta käynnistämällä ”koneen avaimen kiertotyö” -ajastimen työn. Kiertokyvyn jälkeen IIS -nollaus (iisreset.exe) Kaikissa SharePoint -palvelimissa suositellaan.
Järjestelmänvalvojien tulisi myös suorittaa perusteellinen analyysi niiden lokit ja tiedostojärjestelmät kompromissien tai hyväksikäyttöyritysten merkkejä varten. Tärkeimmät indikaattorit sisältävät tiedoston luomisen C:PROGRA~1COMMON~1MICROS~1WEBSER~116TEMPLATELAYOUTSspinstall0.aspxja IIS -lokit, jotka osoittavat postipyynnön _layouts/15/ToolPane.aspx?DisplayMode=Edit&a=/ToolPane.aspx HTTP -viittauksella _layouts/SignOut.aspx.
Microsoft on tarjonnut Microsoft 365 Defender -kyselyn, joka auttaa havaitsemaan spinstall0.aspx tiedosto:
DeviceFileEvents
| where FolderPath has "MICROS~1\WEBSER~1\16\TEMPLATE\LAYOUTS"
| where FileName =~ "spinstall0.aspx"
or FileName has "spinstall0"
| project Timestamp, DeviceName, InitiatingProcessFileName, InitiatingProcessCommandLine, FileName, FolderPath, ReportId, ActionType, SHA256
| order by Timestamp desc
Jos tämä tiedosto löytyy, asianomaisen palvelimen ja verkon kattava tutkimus on ratkaisevan tärkeä, jotta varmistetaan, että uhka -toimijat eivät ole laajentaneet pääsyä muihin laitteisiin.
