在2019年5月11日星期六，我们得到了一个重要的web漏洞被高级持续威胁（APTs）在野外被积极利用的消息，影响了微软的SharePoint服务器（2010到2019版本）。这是CVE-2019-0604，Microsoft SharePoint服务器中的远程代码执行漏洞，以前不知道该漏洞可通过网络。几个包括加拿大网络安全中心和沙特阿拉伯国家中心在内的网络安全中心对这一威胁发出了警报，表明它正被利用下载和执行恶意代码，而恶意代码又将完全控制服务器受影响的软件版本：Microsoft SharePointFoundation 2010 Service Pack 2Microsoft SharePoint Foundation 2013 Service Pack 1Microsoft SharePoint Server 2010 Service Pack 2Microsoft SharePoint Server 2013服务软件包1Microsoft SharePoint Enterprise Server 2016Microsoft SharePoint Server 2019简介该漏洞最初在零日倡议咨询中被给予8.8的CVSS v3关键评级（但需要咨询状态认证）。这意味着只有内部威胁，在本地网络上有SharePoint授权的人（如员工）可以利用脆弱性。我们发现情况并非总是如此，因为有些路径可以通过面向外部的网站而无需身份验证即可访问。使用NIST NVD计算器，它确定实际的基本分数为9.8，严重程度为10分，无需认证要求。如作为我们内部漏洞评分过程的一部分，我们认为这一点非常重要，需要立即关注。这有很多原因。首先，它是一个关键的CVE，影响了主要的软件生态系统，主要针对企业业务。当时似乎没有稳定的补丁。而且，有好几份报告说，在野外被人积极地开发利用APTs。我们同一天部署了一个初始防火墙规则，规则100157。这使我们能够在决定默认操作之前分析流量和请求频率。同时，它使我们的客户能够在补丁。我们在5月11日下午4点47分左右观测到第一批探测器，一直持续到晚上9点12分。我们有理由相信这些不是成功的攻击，只是针对这一点的侦察探测器点。那个暴露在网络上的易受攻击的主机主要由高流量的企业业务组成，根据下面的W3图表，这是有意义的技术人员图1： 描述了SharePoint的市场地位（图片来源于W3Techs），在网上发现的可公开访问的概念验证漏洞利用代码不是现成的。因此，它并没有立即被广泛使用，因为它需要更熟练的武器装备对手。我们提前通知客户大多数规则更改。但是，在本例中，我们认为风险很高，需要对此采取行动，因此决定在5月13日立即发布规则以阻止所有客户的恶意流量th.我们有足够的信心在这里进行违约，正如我们目前所分析的请求看起来并不合法。我们考虑了几个因素来确定这一点，其中一些因素是详细的下面。那个到目前为止，我们看到的大部分请求，有几百个，来自相同IP范围内的云实例。他们在短时间内列举了许多网站的子域句号。这个是一个相当常见的情况。恶意参与者将使用各种方法执行侦察，试图在实际利用漏洞之前找到要攻击的易受攻击主机。查询字符串参数似乎也很可疑，只有攻击该漏洞所需的参数，而没有任何参数更多。那个规则以默认块模式部署，以保护我们的客户，在安全研究人员发现如何将漏洞进行武器化之前，在微软的稳定补丁被广泛应用之前被采纳了vulnerabilityZero Day Initiative在深入了解此漏洞的根本原因以及如何利用它进行攻击方面做得很好练习。从调试.NET可执行文件，他们发现下面的函数最终可能到达反序列化调用，而且可能是这样可利用的。图2： 描述了受影响的函数调用（Trend Micro Zero Day Initiative的图像），这里最有趣的是".Page_Load"和".OnLoad"方法，因为可以通过访问网页。但是，似乎只有一个不需要身份验证，ItemPicker.ValidateEntity可以通过选择器.aspx网页漏洞存在于以下功能中调用：EntityInstanceIdEncoder.DecodeEntityInstanceId（编码）；Microsoft.SharePoint.BusinessData.Infrastructure.EntityInstanceIdEncoder.DecodeEntityInstanceId(私人钥匙);图3:PickerEntity验证（图片归属于Trend Micro Zero Day Initiative）PickerEntity ValidateEntity函数将"pe"（选择器实体）作为争论。之后检查私人钥匙不为空，它与必要的格式相匹配：通过电话toMicrosoft.SharePoint.BusinessData.Infrastructure.EntityInstanceIdEncoder.IsEncodedIdentifier(私人钥匙)它继续从结果定义一个具有identifierValue的对象Microsoft.SharePoint.BusinessData的.Infrastructure.EntityInstanceIdEncoder.DecodeEntityInstanceId(私人钥匙)实际的反序列化需要地点。否则，它将引发AuthenticationException，该异常将向用户。那个受影响的函数调用如下所示。首先，对传递给DecodeEntityInstanceId（）的encodedId参数进行条件检查，如果它以\uuUu开头，它将继续使用xmlSerializer。反序列化（）图4:DecodeEntityInstanceId，当达到反序列化时（图像归因于Trend Micro Zero Day Initiative），encodedId（以XML序列化有效负载的形式）将被反序列化，并最终在SharePoint应用程序池上下文中在系统上执行，从而形成完整的系统妥协。一生成计算器的XML有效负载(小算盘)通过调用命令提示符(命令提示符)：命令提示符/c小算盘分析当我们第一次在日志模式下部署规则时，除了后来的100个探测之外，我们最初并没有看到多少命中晚上好。我们相信这主要是由于对脆弱性及其利用的未知性，因为必须满足许多条件才能制造出一个尚未广泛应用的有效开发知道。它直到我们将规则设置为默认删除模式之后，我们才看到攻击真正开始增加。在13号星期一，我们观察到了我们的第一次攻击尝试，而在14号我们看到了我们认为是个人试图利用这些站点脆弱性。给定这是一个周末，实际上给你一个工作日的时间在你的组织里发布补丁，在恶意行为人开始利用这个漏洞之前脆弱性。图5： 描述匹配的请求，规则100157被设置为13号早期的默认块五月。更进一步进入本周，我们开始看到规则的峰值变小。5月16日，英国国家安全委员会（NCSC）发布了一份警告报告，称针对英国组织的剥削企图非常成功，数以千计的请求被丢弃，主要是针对大型企业和政府实体。这个通常是这种有针对性的攻击，恶意的参与者会试图自动利用漏洞以产生最大可能的影响，这正是我们所看到的给你。所以在我们的分析中，我们看到针对以下路径的恶意攻击：/\u layouts/15/Picker.aspx//u布局/Picker.aspx/_布局/15/下载ExternalData.aspx我们看到的大部分攻击都是针对未经认证的选择器.aspx使用ItemPickerDialog类型：/\u layouts/15/picker.aspx？选择器对话框类型=Microsoft.SharePoint.Portal.WebControls.ItemPickerDialog我们预计，当一个完整的漏洞被公开时，漏洞会被更多地利用，因此，如果您还没有更新系统，那么更新系统是很重要的。我们还建议将这些系统与内部网络隔离，以防它们不需要面向外部，以避免不必要的攻击表面。有时候将这些系统与内部网络隔离是不实际的，这通常是全球性组织的情况，团队跨越多个地点。在这些情况下，我们强烈建议将这些系统置于访问管理解决方案（如Cloudflare访问）之后。这使您能够对谁可以访问资源进行细粒度控制，并具有审核用户的额外好处access.微软最初发布了一个修补程序，但它并没有解决所有易受攻击的功能，因此，客户处于易受攻击的境地，唯一的选择是虚拟地修补他们的系统或完全关闭他们的服务，直到一个有效的解决办法有空。这个这是一个很好的例子，说明了为什么像Cloudflare的WAF这样的防火墙对于保持业务在线至关重要。有时修补不是一种选择，即使是这样，在整个企业中有效地推广也需要时间。