Une violation de Microsoft SharePoint expose les entreprises mondiales à l’exécution de code et au vol de données

Microsoft s’efforce de contenir une faille de sécurité critique dans son logiciel de collaboration SharePoint, qui a déjà été exploitée par des acteurs malveillants pour infiltrer des milliers d’organisations dans le monde.

Cette vulnérabilité, signalée par la Cybersecurity and Infrastructure Security Agency (CISA) au cours du week-end, permet aux attaquants non authentifiés d’obtenir un accès complet au contenu SharePoint et d’exécuter du code à distance sur les réseaux affectés.

Contrairement à de nombreux incidents passés, cette violation n’est pas théorique. Cela a déjà donné lieu à des attaques en direct, selon les chercheurs en sécurité.

SharePoint servant d’épine dorsale pour la collaboration documentaire dans les entreprises du monde entier, la faille ouvre la porte à l’exfiltration généralisée de données, au vol d’informations d’identification et à l’installation de portes dérobées.

Microsoft a publié des correctifs pour certaines versions concernées, mais tous les systèmes ne sont pas encore protégés, en particulier ceux qui exécutent SharePoint Server 2016, qui reste sans correctif.

La vulnérabilité affecte les serveurs SharePoint sur site, et non Microsoft 365

Selon une alerte de Microsoft samedi, la vulnérabilité n’affecte que les serveurs SharePoint sur site, épargnant la plate-forme Microsoft 365 hébergée dans le cloud de l’entreprise.

Cependant, de nombreuses entreprises mondiales s’appuient encore sur des versions auto-hébergées de SharePoint, ce qui augmente la portée de la menace.

La société européenne de cybersécurité Eye Security, qui a été la première à détecter la faille, a noté que les pirates peuvent se faire passer pour des utilisateurs ou des services même après l’application d’un correctif.

Cela rend la menace particulièrement persistante et difficile à contenir.

Les attaquants exploitent la faille pour établir un accès à long terme aux systèmes d’entreprise, en se déplaçant latéralement sur les services Microsoft tels qu’Outlook et Teams, qui sont souvent intégrés aux serveurs SharePoint.

Microsoft et la CISA publient des correctifs et des avertissements de sécurité urgents

Dimanche, Microsoft a publié des correctifs de sécurité pour deux versions du logiciel SharePoint vulnérable, mais a confirmé qu’il était toujours en train de développer un correctif pour la version 2016.

La société n’a pas encore fourni d’autres commentaires.

L’avertissement officiel de la CISA a décrit la vulnérabilité comme permettant un « accès non authentifié aux systèmes » et a averti qu’elle « pose un risque pour les organisations ».

L’agence est toujours en train d’évaluer la portée et l’ampleur de la violation. Les organisations qui n’ont pas encore appliqué les correctifs de Microsoft sont invitées à le faire immédiatement afin d’atténuer les compromissions potentielles.

Palo Alto Networks a confirmé que l’exploit est « réel, dans la nature » et constitue une « menace sérieuse ».

Michael Sikorski, directeur technique et responsable des renseignements sur les menaces de l’entreprise, a déclaré que les attaquants se trouvaient déjà à l’intérieur de systèmes compromis et exfiltraient des données, volaient des clés cryptographiques et installaient des logiciels malveillants persistants pour maintenir l’accès.

Des milliers d’entités mondiales probablement touchées par l’exploitation active

Les chercheurs de Palo Alto Networks estiment que des milliers d’organisations à travers le monde ont déjà été touchées.

Étant donné le rôle central que joue SharePoint dans la collaboration d’entreprise, les systèmes compromis ne se contentent pas de divulguer des documents, mais exposent également des communications internes sensibles et des identifiants de connexion.

Les attaquants exploitent cette vulnérabilité pour se faire passer pour des utilisateurs légitimes et naviguer dans les services connectés, ce qui leur permet d’extraire des données ou d’élever leurs privilèges.

Même les systèmes corrigés peuvent rester vulnérables aux attaques par usurpation d’identité, à moins que des mesures d’atténuation supplémentaires ne soient prises.

L’exploitation de la faille de SharePoint suit un modèle observé lors de précédentes cyberintrusions à grande échelle, où les points d’entrée initiaux sont utilisés pour compromettre une infrastructure plus large.

Le fait que cette violation permette l’exécution de code à distance sur le réseau augmente encore le risque de propagation rapide entre les systèmes internes.

Une panne informatique sans rapport avec l’informatique perturbe les opérations d’Alaska Airlines

Dans un incident sans rapport, Alaska Airlines a signalé un bref arrêt de ses opérations au sol pendant environ trois heures tôt dimanche en raison d’une panne informatique.

Le transporteur a repris ses activités vers 2 h HNE. Il n’existe actuellement aucune preuve établissant un lien entre la panne et le problème de sécurité SharePoint en cours.

Cependant, le calendrier a accru les inquiétudes quant à la résilience numérique dans le secteur des transports et de l’aviation, qui s’appuie fréquemment sur une infrastructure basée sur Microsoft pour ses opérations.

L’industrie, comme beaucoup d’autres, est invitée à vérifier les signes de compromission.