Microsoft SharePoint-Sicherheitsverletzung setzt globale Unternehmen der Codeausführung und Datendiebstahl aus

Microsoft bemüht sich, eine kritische Sicherheitslücke in seiner SharePoint-Collaboration-Software zu schließen, die bereits von Bedrohungsakteuren ausgenutzt wurde, um Tausende von Unternehmen weltweit zu infiltrieren.

Die Schwachstelle, die am Wochenende von der Cybersecurity and Infrastructure Security Agency (CISA) gemeldet wurde, ermöglicht es nicht authentifizierten Angreifern, vollen Zugriff auf SharePoint-Inhalte zu erhalten und Remote-Code über betroffene Netzwerke auszuführen.

Im Gegensatz zu vielen früheren Vorfällen ist dieser Verstoß nicht theoretischer Natur. Laut Sicherheitsforschern hat dies bereits zu Live-Angriffen geführt.

Da SharePoint als Rückgrat für die Zusammenarbeit an Dokumenten in Unternehmen weltweit dient, öffnet die Schwachstelle die Tür für weit verbreitete Datenexfiltration, Diebstahl von Anmeldeinformationen und das Einschleusen von Hintertüren.

Microsoft hat Patches für einige betroffene Versionen veröffentlicht, aber noch sind nicht alle Systeme geschützt, insbesondere diejenigen, auf denen SharePoint Server 2016 ausgeführt wird, das ohne Fix bleibt.

Sicherheitsanfälligkeit betrifft lokale SharePoint-Server, nicht Microsoft 365

Laut einer Warnung von Microsoft vom Samstag betrifft die Schwachstelle nur lokale SharePoint-Server, wodurch die in der Cloud gehostete Microsoft 365-Plattform des Unternehmens verschont bleibt.

Viele globale Unternehmen verlassen sich jedoch immer noch auf selbst gehostete Versionen von SharePoint, was die Reichweite der Bedrohung erhöht.

Das europäische Cybersicherheitsunternehmen Eye Security, das die Schwachstelle zuerst entdeckte, stellte fest, dass Hacker sich auch nach dem Einspielen eines Patches als Benutzer oder Dienste ausgeben können.

Das macht die Bedrohung besonders hartnäckig und schwer einzudämmen.

Die Angreifer nutzen die Schwachstelle aus, um einen langfristigen Zugriff auf Unternehmenssysteme zu ermöglichen, indem sie sich lateral über Microsoft-Dienste wie Outlook und Teams bewegen, die oft in SharePoint-Server integriert sind.

Microsoft und CISA geben dringende Sicherheitspatches und Warnungen heraus

Am Sonntag veröffentlichte Microsoft Sicherheitsfixes für zwei Versionen der anfälligen SharePoint-Software, bestätigte aber, dass es noch an einem Patch für die Version 2016 arbeitet.

Das Unternehmen hat noch keinen weiteren Kommentar abgegeben.

In der offiziellen Warnung der CISA wurde beschrieben, dass die Schwachstelle einen "nicht authentifizierten Zugriff auf Systeme" ermögliche, und warnte, dass sie "ein Risiko für Unternehmen darstellt".

Die Behörde ist noch dabei, den vollen Umfang und das Ausmaß des Verstoßes zu bewerten. Unternehmen, die die Patches von Microsoft noch nicht angewendet haben, werden dringend aufgefordert, dies sofort zu tun, um eine mögliche Kompromittierung zu vermeiden.

Palo Alto Networks bestätigte, dass der Exploit "echt, in freier Wildbahn" ist und eine "ernsthafte Bedrohung" darstellt.

Der CTO und Head of Threat Intelligence des Unternehmens, Michael Sikorski, sagte, dass sich die Angreifer bereits in kompromittierten Systemen befinden und Daten exfiltrieren, kryptografische Schlüssel stehlen und hartnäckige Malware installieren, um den Zugriff aufrechtzuerhalten.

Tausende von globalen Unternehmen, die wahrscheinlich von aktiver Ausbeutung betroffen sind

Forscher von Palo Alto Networks gehen davon aus, dass bereits Tausende von Organisationen auf der ganzen Welt betroffen sind.

Angesichts der zentralen Rolle, die SharePoint bei der Zusammenarbeit in Unternehmen spielt, geben kompromittierte Systeme nicht nur Dokumente preis, sondern legen auch vertrauliche interne Kommunikation und Anmeldeinformationen offen.

Angreifer nutzen die Schwachstelle, um sich als legitime Benutzer auszugeben und durch verbundene Dienste zu navigieren, die es ihnen ermöglichen, Daten zu extrahieren oder Berechtigungen zu erweitern.

Selbst gepatchte Systeme können anfällig für Imitationsangriffe bleiben, wenn keine zusätzlichen Maßnahmen zur Risikominderung ergriffen werden.

Die Ausnutzung der SharePoint-Schwachstelle folgt einem Muster, das bei früheren groß angelegten Cyberangriffen zu beobachten war, bei denen anfängliche Einstiegspunkte genutzt wurden, um die breitere Infrastruktur zu kompromittieren.

Die Tatsache, dass diese Sicherheitsverletzung die Ausführung von Code über das Netzwerk aus der Ferne ermöglicht, erhöht das Risiko einer schnellen Ausbreitung über interne Systeme hinaus.

Nicht damit zusammenhängender IT-Ausfall stört den Betrieb von Alaska Airlines

Bei einem anderen Vorfall meldete Alaska Airlines am frühen Sonntag eine kurze Unterbrechung des Bodenbetriebs für etwa drei Stunden aufgrund eines IT-Ausfalls.

Die Fluggesellschaft nahm den Betrieb gegen 2 Uhr morgens EST wieder auf. Es gibt derzeit keine Beweise dafür, dass der Ausfall mit dem anhaltenden SharePoint-Sicherheitsproblem in Verbindung gebracht wird.

Der Zeitpunkt hat jedoch die Besorgnis über die digitale Resilienz im Transport- und Luftfahrtsektor verstärkt, der für seinen Betrieb häufig auf Microsoft-basierte Infrastrukturen angewiesen ist.

Die Branche wird, wie viele andere auch, aufgefordert, nach Anzeichen einer Kompromittierung zu suchen.