Komoly sebezhetőségek és gyors javítások
A SharePoint már korábban is célpontba került egy kritikus biztonsági hiba miatt, és hiába foltozta be ezt a rést a Microsoft, a támadók két újabb kiskaput találtak, amelyekkel ismét kijátszották a védelmet. A ToolShell-támadások lehetővé tették a távoli kódfuttatást, ezzel jelentős veszélyt jelentve a vállalati rendszerekre.
A Microsoft most rendkívüli tempóban adott ki új javításokat a SharePoint Subscription Edition, 2019-es és 2016-os verzióihoz. Az új frissítések minden korábbinál erősebb védelmet ígérnek, különösen az 53770 és 53771-es hibák ellen. Minden SharePoint rendszergazdának kötelező, hogy mielőbb telepítse a megfelelő biztonsági frissítést.
Gyakorlati teendők rendszergazdáknak
A frissítések telepítése után ajánlott rotálni a SharePoint gépkulcsokat is, amit PowerShell parancsokkal vagy a Központi Felügyeleti oldalon lehet elvégezni. PowerShellben a Set-SPMachineKey és az Update-SPMachineKey parancsokat kell használni, míg a felületen belépve egyszerűen lefuttatható a Machine Key Rotation időzített feladat.
Ezek után minden SharePoint szerveren szükséges az IIS újraindítása (iisreset.exe).
Nyomozás a támadók után
Minden SharePoint rendszeren ajánlott átvizsgálni a naplókat és a fájlrendszert ismeretlen, elsősorban spinstall0.aspx nevű fájl után, ami a támadás jele lehet. Emellett érdemes ellenőrizni az IIS-naplókat gyanús ToolPane.aspx vagy SignOut.aspx hivatkozásokat keresve. A spinstall0.aspx megléte további vizsgálatot indokol, és a teljes hálózatot át kell vizsgálni a fenyegetés terjedése miatt.
A Microsoft egy M365 Defender-lekérdezést is megosztott, amellyel ellenőrizhető, hogy megjelent-e a gyanús fájl a rendszerben.
A helyzet komolysága miatt az azonnali beavatkozás és alapos ellenőrzés most minden SharePoint-üzemeltető számára elengedhetetlen.
