Az újabb SharePoint-hibák is felforgatták a fél világot

Komoly sebezhetőségek és gyors javítások

A SharePoint már korábban is célpontba került egy kritikus biztonsági hiba miatt, és hiába foltozta be ezt a rést a Microsoft, a támadók két újabb kiskaput találtak, amelyekkel ismét kijátszották a védelmet. A ToolShell-támadások lehetővé tették a távoli kódfuttatást, ezzel jelentős veszélyt jelentve a vállalati rendszerekre.

A Microsoft most rendkívüli tempóban adott ki új javításokat a SharePoint Subscription Edition, 2019-es és 2016-os verzióihoz. Az új frissítések minden korábbinál erősebb védelmet ígérnek, különösen az 53770 és 53771-es hibák ellen. Minden SharePoint rendszergazdának kötelező, hogy mielőbb telepítse a megfelelő biztonsági frissítést.

Gyakorlati teendők rendszergazdáknak

A frissítések telepítése után ajánlott rotálni a SharePoint gépkulcsokat is, amit PowerShell parancsokkal vagy a Központi Felügyeleti oldalon lehet elvégezni. PowerShellben a Set-SPMachineKey és az Update-SPMachineKey parancsokat kell használni, míg a felületen belépve egyszerűen lefuttatható a Machine Key Rotation időzített feladat.

Ezek után minden SharePoint szerveren szükséges az IIS újraindítása (iisreset.exe).

Nyomozás a támadók után

Minden SharePoint rendszeren ajánlott átvizsgálni a naplókat és a fájlrendszert ismeretlen, elsősorban spinstall0.aspx nevű fájl után, ami a támadás jele lehet. Emellett érdemes ellenőrizni az IIS-naplókat gyanús ToolPane.aspx vagy SignOut.aspx hivatkozásokat keresve. A spinstall0.aspx megléte további vizsgálatot indokol, és a teljes hálózatot át kell vizsgálni a fenyegetés terjedése miatt.

A Microsoft egy M365 Defender-lekérdezést is megosztott, amellyel ellenőrizhető, hogy megjelent-e a gyanús fájl a rendszerben.

A helyzet komolysága miatt az azonnali beavatkozás és alapos ellenőrzés most minden SharePoint-üzemeltető számára elengedhetetlen.

2025, adrienne, www.bleepingcomputer.com alapján