- 19,406
- 40
- 8 Ноя 2022
Атака ToolShell поразила государственные структуры и банки сразу в пяти странах.
В середине июля специалисты «Лаборатории Касперского» Для просмотра ссылки Войдиили Зарегистрируйся о массовой атаке на локальные серверы Microsoft SharePoint по всему миру. Цепочка эксплойтов, получившая имя ToolShell, позволяет злоумышленникам захватывать полный контроль над уязвимыми системами, обходя аутентификацию и выполняя произвольный код на сервере. В ходе расследования удалось установить, что жертвами атаки стали организации из Египта, Иордании, России, Вьетнама и Замбии, включая государственные структуры, финансовые учреждения, производственные компании, а также предприятия в лесной и аграрной отраслях.
Ключевым элементом цепочки стал Для просмотра ссылки Войдиили Зарегистрируйся — уязвимость в методе PostAuthenticateRequestHandler библиотеки Microsoft.SharePoint.dll, позволяющая обойти проверку подлинности при определённых условиях. Злоумышленники использовали встроенную в IIS интеграцию с SharePoint, подставляя HTTP Referrer со ссылкой на «/_layouts/SignOut.aspx» и его вариации. Это отключало проверки авторизации, поскольку система ошибочно воспринимала запрос как легитимный.
Обход стал возможен из-за логики обработки пути: отсутствие чувствительности к регистру и некорректное исключение некоторых путей привело к тому, что даже после внедрённого Microsoft ограничения на «ToolPane.aspx», достаточно было просто добавить слэш в конец URL, чтобы снова обойти защиту. Эта недоработка вылилась в новый идентификатор — Для просмотра ссылки Войдиили Зарегистрируйся . Лишь обновление от 20 июля, усилившее механизм сопоставления допустимых путей, существенно ограничило возможность подделки referrer-заголовка.
Другим критическим вектором атаки стал Для просмотра ссылки Войдиили Зарегистрируйся — ошибка десериализации небезопасных данных. Через параметры POST-запроса «MSOtlPn_Uri» и «MSOtlPn_DWP», направленного на «/_layouts/15/ToolPane.aspx», происходила передача вредоносной XML-разметки с элементом WebPart. Внутри неё атакующие внедряли элемент ExcelDataSet из библиотеки Microsoft.PerformancePoint.Scorecards.Client.dll, используя его свойство CompressedDataTable. После декодирования и распаковки передавались данные в десериализатор BinarySerialization.Deserialize, вызывавший исполнение произвольного кода через технику ExpandedWrapper.
Для обхода проверок типов атакующие оборачивали опасный объект типа ExpandedWrapper во вложенный список, что позволило избежать срабатывания XmlValida<span class="vpn-highlight" title="Использование VPN может нарушать законодательство РФ">tor</span>. Это уязвимость оказалась, по сути, обновлённой версией Для просмотра ссылки Войдиили Зарегистрируйся , уже использовавшей аналогичный подход, но без структуры списка. Microsoft изначально попыталась заблокировать ExcelDataSet через пометку элемента как небезопасного в web.config, однако пропустила обязательный шаг запуска мастера конфигурации SharePoint. Этот недосмотр сделал защиту бесполезной для многих пользователей, что вынудило компанию выпустить дополнительную заплатку Для просмотра ссылки Войди или Зарегистрируйся с более строгой валидацией типов в XmlValidator.
Анализ вредоносной активности выявил, что для обхода первых защитных мер было достаточно изменить один байт в запросе. Простота и эффективность этой схемы делают ToolShell крайне опасным, сравнимым по масштабу с такими атаками, как ProxyLogon или EternalBlue. Подтверждение уязвимости на стороне клиента и сервера, а также наличие готовых публичных эксплойтов значительно повышают риск массового заражения.
Набор из пяти уязвимостей — Для просмотра ссылки Войдиили Зарегистрируйся , Для просмотра ссылки Войди или Зарегистрируйся , Для просмотра ссылки Войди или Зарегистрируйся , Для просмотра ссылки Войди или Зарегистрируйся и связанная с ними Для просмотра ссылки Войди или Зарегистрируйся — представляет собой мощную цепочку, позволяющую удалённое выполнение кода, полное обход средств аутентификации и эксплуатацию SharePoint через XML. Специалисты настаивают на немедленном обновлении систем и использовании средств защиты с возможностью обнаружения атак нулевого дня. Своевременное закрытие уязвимостей — единственная мера, способная остановить дальнейшее распространение ToolShell.
В середине июля специалисты «Лаборатории Касперского» Для просмотра ссылки Войди
Ключевым элементом цепочки стал Для просмотра ссылки Войди
Обход стал возможен из-за логики обработки пути: отсутствие чувствительности к регистру и некорректное исключение некоторых путей привело к тому, что даже после внедрённого Microsoft ограничения на «ToolPane.aspx», достаточно было просто добавить слэш в конец URL, чтобы снова обойти защиту. Эта недоработка вылилась в новый идентификатор — Для просмотра ссылки Войди
Другим критическим вектором атаки стал Для просмотра ссылки Войди
Для обхода проверок типов атакующие оборачивали опасный объект типа ExpandedWrapper во вложенный список, что позволило избежать срабатывания XmlValida<span class="vpn-highlight" title="Использование VPN может нарушать законодательство РФ">tor</span>. Это уязвимость оказалась, по сути, обновлённой версией Для просмотра ссылки Войди
Анализ вредоносной активности выявил, что для обхода первых защитных мер было достаточно изменить один байт в запросе. Простота и эффективность этой схемы делают ToolShell крайне опасным, сравнимым по масштабу с такими атаками, как ProxyLogon или EternalBlue. Подтверждение уязвимости на стороне клиента и сервера, а также наличие готовых публичных эксплойтов значительно повышают риск массового заражения.
Набор из пяти уязвимостей — Для просмотра ссылки Войди
- Источник новости
- www.securitylab.ru
