Встановлення оновлень є лише першим кроком у процесі відновлення, оскільки зараження дозволяє зловмисникам отримати облікові дані для аутентифікації, що надає широкий доступ до різноманітних чутливих ресурсів у скомпрометованій мережі. Детальніше про ці додаткові етапи буде розказано далі в статті.
У суботу фахівці з безпеки компанії Eye Security повідомили про виявлення “десятків систем, які активно постраждали під час двох хвиль атак, 18 липня приблизно о 18:00 UTC та 19 липня близько 07:30 UTC.” Ці системи, розташовані по всьому світу, були зламані через експлуатацію вразливості та піддані атаці за допомогою бекдору на основі вебшела, відомого як ToolShell. Дослідники Eye Security зазначили, що цей бекдор зміг отримати доступ до найбільш чутливих частин SharePoint Server і звідти вилучити токени, які дозволяли виконувати код, що дало зловмисникам можливість розширити свої можливості в мережах.
“Цей вебшел не був звичайним,” написали дослідники Eye Security. “У ньому не було інтерактивних команд, реверс-шелів або логіки командного управління. Натомість, сторінка викликала внутрішні методи .NET для читання конфігурації MachineKey SharePoint сервера, включаючи ValidationKey. Ці ключі є критично важливими для генерування дійсних __VIEWSTATE навантажень, і доступ до них фактично перетворює будь-який аутентифікований запит до SharePoint у можливість віддаленого виконання коду.”
Віддалене виконання коду стає можливим завдяки використанню експлуатації для таргетування способу, яким SharePoint перетворює структури даних та стани об’єктів у формати, що можуть бути збережені або передані, а потім повторно відтворені пізніше, процес, відомий як сериалізація. Вразливість SharePoint, яку Microsoft виправила у 2021 році, дозволяла зловмисникам зловживати логікою парсингу для інжекції об’єктів у сторінки. Це сталося через те, що SharePoint запускав об’єкти ASP.NET ViewState, використовуючи підписувальний ключ ValidationKey, який зберігається у конфігурації машини. Це могло дати зловмисникам можливість змусити SharePoint десеріалізувати довільні об’єкти та виконувати вбудовані команди. Проте ці експлойти були обмежені вимогою генерувати дійсну підпис, що, своєю чергою, вимагало доступу до таємного ValidationKey сервера.