- 19,426
- 40
- 8 Ноя 2022
Китайцы нашли обход, пока вы обновлялись.
Microsoft подтвердила, что за атакой на локальные инсталляции SharePoint Server стоят три хакерские группы, связанные с Китаем. Как следует из Для просмотра ссылки Войдиили Зарегистрируйся , ещё с начала июля уязвимости CVE-2025-53770 и CVE-2025-53771 активно эксплуатировались группировками Linen Typhoon (APT27), Violet Typhoon (APT31) и Storm-2603.
Все три группировки атаковали интернет-доступные серверы, используя обходы предыдущих патчей для уязвимостей Для просмотра ссылки Войдиили Зарегистрируйся . Основной метод — отправка POST-запросов к ToolPane, что позволяет обойти аутентификацию и выполнить произвольный код. После внедрения атакующие разворачивают веб-шеллы <code>spinstall.aspx</code> (или его варианты), через которые извлекают MachineKey, позволяющий подделывать легитимные запросы и сохранять доступ к системе даже после обновления.
Для просмотра ссылки Войдиили Зарегистрируйся первыми сообщили о целевых атаках, вызванных этой уязвимостью, и задокументировали активное использование PowerShell-скриптов и вредоносных ASPX-файлов внутри уже скомпрометированных систем. Эти техники позволяют злоумышленникам быстро распространяться по сети, не вызывая подозрений.
Дополнительные технические детали атаки привёл исследователь Ракеш Кришнан. В Для просмотра ссылки Войдиили Зарегистрируйся он описал, как при эксплуатации уязвимости запускаются три процесса Microsoft Edge — <code>Network Utility</code>, <code>Crashpad Handler</code> и <code>GPU Process</code> — чтобы эмулировать поведение легитимных приложений и избежать обнаружения. Кроме того, используется механизм Для просмотра ссылки Войди или Зарегистрируйся , благодаря которому вредоносный трафик маскируется под обычные запросы на обновление браузера.
В Microsoft подчёркивают, что простая установка патча недостаточна: если атакующие уже получили доступ, необходимо ротация ASP.NET machine keys, перезапуск IIS, а также включение AMSI в полном режиме и развёртывание средств обнаружения угроз (например, Microsoft Defender for Endpoint). Также предупреждается, что эксплойты могут быть адаптированы другими группами и использованы повторно против уязвимых систем.
Это уже второй крупный инцидент, в котором Китай обвиняют в атаках на Microsoft-продукты. В 2021 году подобный масштаб был достигнут во время кампании ProxyLogon, когда взлому подверглись десятки тысяч Exchange-серверов. Тогда атаки были приписаны группе Hafnium (Silk Typhoon).
Ранее, в уже опубликованной Для просмотра ссылки Войдиили Зарегистрируйся , описывались первые признаки компрометации, включавшие похищение ключей MachineKey, установку бэкдоров и сохранение доступа после обновления. Теперь подтверждение со стороны Microsoft о китайской атрибуции и массовом использовании обходов усиливает оценку угрозы.
Microsoft подтвердила, что за атакой на локальные инсталляции SharePoint Server стоят три хакерские группы, связанные с Китаем. Как следует из Для просмотра ссылки Войди
Все три группировки атаковали интернет-доступные серверы, используя обходы предыдущих патчей для уязвимостей Для просмотра ссылки Войди
Для просмотра ссылки Войди
Дополнительные технические детали атаки привёл исследователь Ракеш Кришнан. В Для просмотра ссылки Войди
В Microsoft подчёркивают, что простая установка патча недостаточна: если атакующие уже получили доступ, необходимо ротация ASP.NET machine keys, перезапуск IIS, а также включение AMSI в полном режиме и развёртывание средств обнаружения угроз (например, Microsoft Defender for Endpoint). Также предупреждается, что эксплойты могут быть адаптированы другими группами и использованы повторно против уязвимых систем.
Это уже второй крупный инцидент, в котором Китай обвиняют в атаках на Microsoft-продукты. В 2021 году подобный масштаб был достигнут во время кампании ProxyLogon, когда взлому подверглись десятки тысяч Exchange-серверов. Тогда атаки были приписаны группе Hafnium (Silk Typhoon).
Ранее, в уже опубликованной Для просмотра ссылки Войди
- Источник новости
- www.securitylab.ru
