Microsoft SharePoint-brud udsætter globale virksomheder for kodeudførelse og datatyveri

Microsoft kæmper for at inddæmme en kritisk sikkerhedsfejl i sin SharePoint-samarbejdssoftware, der allerede er blevet udnyttet af trusselsaktører til at infiltrere tusindvis af organisationer globalt.

Sårbarheden, der blev markeret af Cybersecurity and Infrastructure Security Agency (CISA) i weekenden, gør det muligt for ikke-autentificerede angribere at få fuld adgang til SharePoint-indhold og udføre fjernkode på tværs af berørte netværk.

I modsætning til mange tidligere hændelser er dette brud ikke teoretisk. Det har allerede resulteret i live-angreb, ifølge sikkerhedsforskere.

Da SharePoint fungerer som rygrad for dokumentsamarbejde i virksomheder over hele verden, åbner fejlen døren for udbredt dataeksfiltrering, tyveri af legitimationsoplysninger og plantning af bagdøre.

Microsoft har udsendt patches til nogle berørte versioner, men ikke alle systemer er beskyttet endnu, især dem, der kører SharePoint Server 2016, som forbliver uden en rettelse.

Sårbarheden påvirker SharePoint-servere i det lokale miljø, ikke Microsoft 365

Ifølge en advarsel fra Microsoft lørdag påvirker sårbarheden kun lokale SharePoint-servere, hvilket skåner virksomhedens cloud-hostede Microsoft 365-platform.

Mange globale virksomheder er dog stadig afhængige af selvhostede versioner af SharePoint, hvilket øger truslens rækkevidde.

Det europæiske cybersikkerhedsfirma Eye Security, som først opdagede fejlen, bemærkede, at hackere kan udgive sig for at være brugere eller tjenester, selv efter at en patch er påført.

Dette gør truslen særlig vedvarende og svær at inddæmme.

Angriberne udnytter fejlen til at etablere langsigtet adgang til virksomhedssystemer, der bevæger sig sideværts på tværs af Microsoft-tjenester som Outlook og Teams, som ofte er integreret med SharePoint-servere.

Microsoft og CISA udsteder hastende sikkerhedsrettelser og advarsler

Søndag udgav Microsoft sikkerhedsrettelser til to versioner af den sårbare SharePoint-software, men bekræftede, at de stadig var ved at udvikle en patch til 2016-versionen.

Virksomheden har endnu ikke givet yderligere kommentarer.

CISA's officielle advarsel beskrev sårbarheden som at muliggøre "uautoriseret adgang til systemer" og advarede om, at det "udgør en risiko for organisationer."

Agenturet er stadig ved at vurdere det fulde omfang og omfanget af bruddet. Organisationer, der endnu ikke har anvendt Microsofts patches, opfordres til at gøre det med det samme for at afbøde potentiel kompromittering.

Palo Alto Networks bekræftede, at udnyttelsen er "ægte, i naturen" og udgør en "alvorlig trussel".

Virksomhedens CTO og chef for trusselsefterretning, Michael Sikorski, sagde, at angribere allerede er inde i kompromitterede systemer og eksfiltrerer data, stjæler kryptografiske nøgler og installerer vedvarende malware for at opretholde adgangen.

Tusindvis af globale enheder sandsynligvis påvirket af aktiv udnyttelse

Forskere ved Palo Alto Networks mener, at tusindvis af organisationer rundt om i verden allerede er blevet påvirket.

I betragtning af den centrale rolle, SharePoint spiller i virksomhedssamarbejde, lækker kompromitterede systemer ikke kun dokumenter, men afslører også følsom intern kommunikation og loginoplysninger.

Angribere udnytter sårbarheden til at udgive sig for at være legitime brugere og navigere gennem tilsluttede tjenester, så de kan udtrække data eller eskalere privilegier.

Selv patchede systemer kan forblive sårbare over for efterligningsangreb, medmindre der tages yderligere afhjælpende skridt.

Udnyttelsen af SharePoints fejl følger et mønster, der er set i tidligere storstilede cyberindtrængen, hvor indledende indgangspunkter bruges til at kompromittere bredere infrastruktur.

Det faktum, at dette brud giver mulighed for fjernudførelse af kode over netværket, øger yderligere risikoen for hurtig udbredelse på tværs af interne systemer.

Ikke-relateret it-afbrydelse forstyrrer Alaska Airlines drift

I en ikke-relateret hændelse rapporterede Alaska Airlines et kortvarigt stop i sine operationer på jorden i omkring tre timer tidligt søndag på grund af et it-nedbrud.

Hangarskibet genoptog operationerne omkring kl. 2 om morgenen. Der er ingen aktuelle beviser, der knytter afbrydelsen til det igangværende SharePoint-sikkerhedsproblem.

Timingen har dog øget bekymringerne om digital modstandsdygtighed i transport- og luftfartssektoren, som ofte er afhængig af Microsoft-baseret infrastruktur til sine operationer.

Branchen opfordres som mange andre til at tjekke for tegn på kompromis.