工具链攻击利用漏洞链入侵SharePoint服务器获取完全控制权
💡
原文中文,约2300字,阅读约需6分钟。
📝
内容提要
一种名为“ToolShell”的漏洞利用链严重威胁Microsoft SharePoint服务器,结合已修复和零日漏洞,攻击者可完全控制系统。建议立即打补丁并加强监控以防止入侵。
🎯
关键要点
- ToolShell漏洞利用链严重威胁Microsoft SharePoint服务器。
- 攻击结合已修复和零日漏洞,可能导致系统完全控制。
- 影响SharePoint Enterprise Server 2016、2019及订阅版。
- ToolShell利用四个SharePoint漏洞实现远程代码执行。
- 攻击者使用CURL和PowerShell命令进行初步侦察。
- 攻击从利用spinstall0.aspx端点开始,上传配置数据。
- 部署两个主要恶意组件:GhostWebShell和KeySiphon。
- GhostWebShell用于维持持久远程访问,具备高级规避技术。
- KeySiphon收集系统情报并提取加密密钥。
- 企业应立即应用补丁并实施分层检测策略。
- 安全团队需优先强化SharePoint基础设施,考虑额外访问控制。
- 提供了一些攻击指标,包括IP地址和文件哈希。
🏷️
标签
➡️
