خرق Microsoft SharePoint يعرض الشركات العالمية لتنفيذ التعليمات البرمجية وسرقة البيانات

تتسابق Microsoft لاحتواء ثغرة أمنية خطيرة في برنامج التعاون SharePoint الخاص بها والذي تم استغلاله بالفعل من قبل الجهات الفاعلة في التهديد للتسلل إلى آلاف المؤسسات على مستوى العالم.

تتيح الثغرة الأمنية ، التي تم الإبلاغ عنها من قبل وكالة الأمن السيبراني وأمن البنية التحتية (CISA) خلال عطلة نهاية الأسبوع ، للمهاجمين غير المصادق عليهم الوصول الكامل إلى محتوى SharePoint وتنفيذ التعليمات البرمجية عن بعد عبر الشبكات المتأثرة.

على عكس العديد من الحوادث السابقة ، فإن هذا الخرق ليس نظريا. لقد أدى ذلك بالفعل إلى هجمات حية ، وفقا لباحثين أمنيين.

مع عمل SharePoint كعمود فقري للتعاون في المستندات في المؤسسات في جميع أنحاء العالم ، يفتح الخلل الباب أمام استخراج البيانات على نطاق واسع وسرقة بيانات الاعتماد وزرع الأبواب الخلفية.

أصدرت Microsoft تصحيحات لبعض الإصدارات المتأثرة ، ولكن ليست جميع الأنظمة محمية حتى الآن ، لا سيما تلك التي تعمل بنظام SharePoint Server 2016 ، والتي لا تزال بدون إصلاح.

تؤثر الثغرة الأمنية على خوادم SharePoint المحلية، وليس Microsoft 365

وفقا لتنبيه من Microsoft يوم السبت ، فإن الثغرة الأمنية تؤثر فقط على خوادم SharePoint المحلية ، مما يجنب النظام الأساسي Microsoft 365 المستضاف على السحابة للشركة.

ومع ذلك ، لا تزال العديد من الشركات العالمية تعتمد على إصدارات SharePoint المستضافة ذاتيا ، مما يزيد من وصول التهديد.

أشارت شركة الأمن السيبراني الأوروبية Eye Security ، التي اكتشفت الخلل لأول مرة ، إلى أن المتسللين يمكنهم انتحال صفة المستخدمين أو الخدمات حتى بعد تطبيق التصحيح.

وهذا يجعل التهديد مستمرا بشكل خاص ويصعب احتواؤه.

يستغل المهاجمون الخلل لإنشاء وصول طويل الأجل إلى أنظمة المؤسسة ، والانتقال بشكل جانبي عبر خدمات Microsoft مثل Outlook و Teams ، والتي غالبا ما يتم دمجها مع خوادم SharePoint.

تصدر Microsoft و CISA تصحيحات وتحذيرات أمان عاجلة

يوم الأحد ، أصدرت Microsoft إصلاحات أمنية لإصدارين من برنامج SharePoint الضعيف ، لكنها أكدت أنها لا تزال تطور تصحيحا لإصدار 2016.

لم تقدم الشركة مزيدا من التعليقات بعد.

وصف التحذير الرسمي ل CISA الثغرة الأمنية بأنها تتيح "الوصول غير المصادق عليه إلى الأنظمة" وحذر من أنها "تشكل خطرا على المنظمات".

لا تزال الوكالة تقيم النطاق الكامل وحجم الخرق. يتم حث المؤسسات التي لم تطبق تصحيحات Microsoft بعد على القيام بذلك على الفور للتخفيف من الاختراق المحتمل.

أكدت Palo Alto Networks أن الاستغلال "حقيقي ، في البرية" ، ويشكل "تهديدا خطيرا".

قال مايكل سيكورسكي ، كبير مسؤولي التكنولوجيا في الشركة ورئيس استخبارات التهديدات ، إن المهاجمين موجودون بالفعل داخل أنظمة مخترقة ويقومون بتسريب البيانات وسرقة مفاتيح التشفير وتثبيت برامج ضارة مستمرة للحفاظ على الوصول.

آلاف الكيانات العالمية التي من المحتمل أن تتأثر بالاستغلال النشط

يعتقد الباحثون في Palo Alto Networks أن آلاف المنظمات حول العالم قد تأثرت بالفعل.

نظرا للدور المركزي الذي يلعبه SharePoint في التعاون المؤسسي ، فإن الأنظمة المخترقة لا تقوم فقط بتسريب المستندات ولكنها تكشف أيضا عن الاتصالات الداخلية الحساسة وبيانات اعتماد تسجيل الدخول.

يستفيد المهاجمون من الثغرة الأمنية لانتحال شخصية المستخدمين الشرعيين والتنقل عبر الخدمات المتصلة، مما يسمح لهم باستخراج البيانات أو تصعيد الامتيازات.

حتى الأنظمة المصححة قد تظل عرضة لهجمات انتحال الهوية ما لم يتم اتخاذ خطوات تخفيف إضافية.

يتبع استغلال عيب SharePoint نمطا شوهد في الاختراقات الإلكترونية السابقة واسعة النطاق ، حيث يتم استخدام نقاط الدخول الأولية لاختراق البنية التحتية الأوسع.

حقيقة أن هذا الخرق يسمح بتنفيذ التعليمات البرمجية عن بعد عبر الشبكة يزيد من خطر الانتشار السريع عبر الأنظمة الداخلية.

انقطاع تكنولوجيا المعلومات غير ذي الصلة يعطل عمليات خطوط ألاسكا الجوية

في حادث غير ذي صلة ، أبلغت خطوط ألاسكا الجوية عن توقف قصير في عملياتها الأرضية لمدة ثلاث ساعات في وقت مبكر من يوم الأحد بسبب انقطاع تكنولوجيا المعلومات.

استأنفت شركة الطيران عملياتها في حوالي الساعة 2 صباحا بتوقيت شرق الولايات المتحدة. لا يوجد دليل حالي يربط الانقطاع بمشكلة أمان SharePoint المستمرة.

ومع ذلك ، فقد زاد التوقيت من المخاوف بشأن المرونة الرقمية في قطاع النقل والطيران ، والذي يعتمد في كثير من الأحيان على البنية التحتية القائمة على Microsoft لعملياته.

يتم حث الصناعة ، مثل العديد من الصناعة الأخرى ، على التحقق من علامات الحل الوسط.