Microsoft SharePoint -tietomurto altistaa maailmanlaajuiset yritykset koodin suorittamiselle ja tietovarkauksille

Microsoft pyrkii hillitsemään SharePoint-yhteistyöohjelmistonsa kriittistä tietoturva-aukkoa, jota uhkatoimijat ovat jo hyödyntäneet soluttautuakseen tuhansiin organisaatioihin maailmanlaajuisesti.

Kyberturvallisuus- ja infrastruktuuriturvallisuusviraston (CISA) viikonloppuna ilmoittama haavoittuvuus antaa todentamattomille hyökkääjille mahdollisuuden saada täyden pääsyn SharePoint-sisältöön ja suorittaa etäkoodia verkoissa, joita asia koskee.

Toisin kuin monet aiemmat tapaukset, tämä rikkomus ei ole teoreettinen. Tietoturvatutkijoiden mukaan se on jo johtanut live-hyökkäyksiin.

Koska SharePoint toimii selkärankana asiakirjojen yhteistyölle yrityksissä maailmanlaajuisesti, virhe avaa oven laajalle levinneelle tietojen suodattamiselle, tunnistetietojen varkauksille ja takaovien istuttamiselle.

Microsoft on julkaissut korjaustiedostoja joillekin versioille, joita ongelma koskee, mutta kaikkia järjestelmiä ei ole vielä suojattu, etenkään niitä, joissa on SharePoint Server 2016, joka on edelleen ilman korjausta.

Haavoittuvuus vaikuttaa paikallisiin SharePoint-palvelimiin, ei Microsoft 365:een

Microsoftin lauantaina antaman hälytyksen mukaan haavoittuvuus vaikuttaa vain paikallisiin SharePoint-palvelimiin, mikä säästää yrityksen pilvipalvelussa isännöityä Microsoft 365 -alustaa.

Monet globaalit yritykset luottavat kuitenkin edelleen SharePointin itse isännöityihin versioihin, mikä lisää uhan kattavuutta.

Eurooppalainen kyberturvallisuusyritys Eye Security, joka havaitsi virheen ensimmäisenä, huomautti, että hakkerit voivat esiintyä käyttäjinä tai palveluina myös korjaustiedoston asentamisen jälkeen.

Tämä tekee uhasta erityisen pysyvän ja vaikeasti hallittavan.

Hyökkääjät käyttävät virhettä hyväkseen luodakseen pitkäaikaisen pääsyn yritysjärjestelmiin ja liikkuvat sivusuunnassa Microsoftin palveluissa, kuten Outlookissa ja Teamsissa, jotka on usein integroitu SharePoint-palvelimiin.

Microsoft ja CISA julkaisevat kiireellisiä tietoturvakorjauksia ja -varoituksia

Sunnuntaina Microsoft julkaisi tietoturvakorjauksia kahdelle haavoittuvan SharePoint-ohjelmiston versiolle, mutta vahvisti kehittävänsä edelleen korjaustiedostoa vuoden 2016 versiolle.

Yhtiö ei ole vielä kommentoinut asiaa tarkemmin.

CISA:n virallinen varoitus kuvaili haavoittuvuutta mahdollistavan "todentamattoman pääsyn järjestelmiin" ja varoitti, että se "aiheuttaa riskin organisaatioille".

Virasto arvioi edelleen tietomurron koko laajuutta ja laajuutta. Organisaatioita, jotka eivät ole vielä asentaneet Microsoftin korjaustiedostoja, kehotetaan tekemään se välittömästi mahdollisen vaarantumisen lieventämiseksi.

Palo Alto Networks vahvisti, että hyväksikäyttö on "todellinen, luonnossa" ja muodostaa "vakavan uhan".

Yhtiön teknologiajohtaja ja uhkatiedustelun johtaja Michael Sikorski sanoi, että hyökkääjät ovat jo vaarantuneissa järjestelmissä ja suodattavat tietoja, varastavat salausavaimia ja asentavat pysyviä haittaohjelmia pääsyn ylläpitämiseksi.

Tuhannet maailmanlaajuiset toimijat, joihin aktiivinen hyväksikäyttö todennäköisesti vaikuttaa

Palo Alto Networksin tutkijat uskovat, että tuhannet organisaatiot ympäri maailmaa ovat jo vaikuttaneet.

Koska SharePointilla on keskeinen rooli yritysyhteistyössä, vaarantuneet järjestelmät eivät ainoastaan vuoda asiakirjoja, vaan paljastavat myös arkaluonteisen sisäisen viestinnän ja kirjautumistiedot.

Hyökkääjät hyödyntävät haavoittuvuutta esiintyäkseen laillisina käyttäjinä ja navigoidakseen yhdistettyjen palveluiden läpi, jolloin he voivat poimia tietoja tai laajentaa oikeuksia.

Jopa korjatut järjestelmät voivat olla alttiita tekeytymishyökkäyksille, ellei lieventäviä lisätoimenpiteitä toteuteta.

SharePointin virheen hyödyntäminen noudattaa aiempien laajamittaisten kyberhyökkäysten kaavaa, jossa alkuperäisiä sisääntulopisteitä käytetään laajemman infrastruktuurin vaarantamiseen.

Se, että tämä tietomurto mahdollistaa koodin etäsuorittamisen verkon kautta, lisää entisestään riskiä nopeasta leviämisestä sisäisissä järjestelmissä.

Asiaan liittymätön IT-katkos häiritsee Alaska Airlinesin toimintaa

Asiaan liittymättömässä tapauksessa Alaska Airlines ilmoitti maatoimintojensa lyhyestä keskeytyksestä noin kolmeksi tunniksi varhain sunnuntaina IT-katkoksen vuoksi.

Lentotukialus jatkoi toimintaansa noin kello 2 aamulla. Tällä hetkellä ei ole todisteita, jotka yhdistäisivät katkoksen meneillään olevaan SharePoint-tietoturvaongelmaan.

Ajoitus on kuitenkin lisännyt huolta digitaalisesta resilienssistä liikenne- ja ilmailualalla, joka on usein riippuvainen Microsoft-pohjaisesta infrastruktuurista toiminnassaan.

Teollisuutta, kuten monia muitakin, kehotetaan tarkistamaan kompromissin merkkejä.