Pelanggaran Microsoft SharePoint mendedahkan firma global kepada pelaksanaan kod dan kecurian data

Microsoft berlumba-lumba untuk membendung kelemahan keselamatan kritikal dalam perisian kerjasama SharePointnya yang telah dieksploitasi oleh pelaku ancaman untuk menyusup ke beribu-ribu organisasi di seluruh dunia.

Kerentanan itu, yang dibenderakan oleh Agensi Keselamatan Siber dan Infrastruktur (CISA) pada hujung minggu, membolehkan penyerang yang tidak disahkan mendapat akses penuh kepada kandungan SharePoint dan melaksanakan kod jauh merentas rangkaian yang terjejas.

Tidak seperti banyak insiden masa lalu, pelanggaran ini bukan teori. Ia telah mengakibatkan serangan langsung, menurut penyelidik keselamatan.

Dengan SharePoint berfungsi sebagai tulang belakang untuk kerjasama dokumen dalam perusahaan di seluruh dunia, kelemahan itu membuka pintu kepada eksfiltrasi data yang meluas, kecurian kelayakan dan penanaman pintu belakang.

Microsoft telah mengeluarkan tampung untuk beberapa versi yang terjejas, tetapi tidak semua sistem dilindungi lagi, terutamanya yang menjalankan SharePoint Server 2016, yang kekal tanpa pembetulan.

Kerentanan menjejaskan pelayan di premis SharePoint, bukan Microsoft 365

Menurut amaran daripada Microsoft pada hari Sabtu, kelemahan itu hanya menjejaskan pelayan SharePoint di premis, menyelamatkan platform Microsoft 365 yang dihoskan awan syarikat.

Walau bagaimanapun, banyak perniagaan global masih bergantung pada versi SharePoint yang dihoskan sendiri, meningkatkan jangkauan ancaman.

Firma keselamatan siber Eropah Eye Security, yang mula-mula mengesan kecacatan itu, menyatakan bahawa penggodam boleh menyamar sebagai pengguna atau perkhidmatan walaupun selepas tampalan digunakan.

Ini menjadikan ancaman itu sangat berterusan dan sukar untuk dibendung.

Penyerang mengeksploitasi kelemahan untuk mewujudkan akses jangka panjang kepada sistem perusahaan, bergerak secara lateral merentas perkhidmatan Microsoft seperti Outlook dan Teams, yang sering disepadukan dengan pelayan SharePoint.

Microsoft dan CISA mengeluarkan tampung dan amaran keselamatan segera

Pada hari Ahad, Microsoft mengeluarkan pembetulan keselamatan untuk dua versi perisian SharePoint yang terdedah, tetapi mengesahkan bahawa ia masih membangunkan tampalan untuk versi 2016.

Syarikat itu masih belum memberikan komen lanjut.

Amaran rasmi CISA menggambarkan kelemahan itu sebagai membolehkan "akses tidak disahkan kepada sistem" dan memberi amaran bahawa ia "menimbulkan risiko kepada organisasi."

Agensi itu masih menilai skop penuh dan skala pelanggaran itu. Organisasi yang belum menggunakan tampalan Microsoft digesa untuk berbuat demikian dengan segera untuk mengurangkan potensi kompromi.

Palo Alto Networks mengesahkan bahawa eksploitasi itu adalah "nyata, di alam liar," dan menimbulkan "ancaman serius."

CTO syarikat dan ketua risikan ancaman, Michael Sikorski, berkata penyerang sudah berada di dalam sistem yang terjejas dan mengeksfiltrasi data, mencuri kunci kriptografi dan memasang perisian hasad berterusan untuk mengekalkan akses.

Beribu-ribu entiti global mungkin terjejas oleh eksploitasi aktif

Penyelidik di Palo Alto Networks percaya bahawa beribu-ribu organisasi di seluruh dunia telah pun terjejas.

Memandangkan peranan utama yang dimainkan oleh SharePoint dalam kerjasama perusahaan, sistem yang terjejas bukan sahaja membocorkan dokumen tetapi juga mendedahkan komunikasi dalaman yang sensitif dan kelayakan log masuk.

Penyerang memanfaatkan kelemahan untuk menyamar sebagai pengguna yang sah dan menavigasi melalui perkhidmatan yang disambungkan, membolehkan mereka mengekstrak data atau meningkatkan keistimewaan.

Malah sistem yang ditampal mungkin kekal terdedah kepada serangan penyamaran melainkan langkah mitigasi tambahan diambil.

Eksploitasi kelemahan SharePoint mengikut corak yang dilihat dalam pencerobohan siber berskala besar sebelum ini, di mana titik masuk awal digunakan untuk menjejaskan infrastruktur yang lebih luas.

Hakikat bahawa pelanggaran ini membolehkan pelaksanaan kod jauh melalui rangkaian meningkatkan lagi risiko penyebaran pantas merentas sistem dalaman.

Gangguan IT yang tidak berkaitan mengganggu operasi Alaska Airlines

Dalam insiden yang tidak berkaitan, Alaska Airlines melaporkan pemberhentian sebentar dalam operasi daratnya selama kira-kira tiga jam awal Ahad kerana gangguan IT.

Syarikat penerbangan itu menyambung semula operasi sekitar jam 2 pagi EST. Tiada bukti semasa yang mengaitkan gangguan dengan isu keselamatan SharePoint yang berterusan.

Walau bagaimanapun, masa itu telah meningkatkan kebimbangan tentang daya tahan digital dalam sektor pengangkutan dan penerbangan, yang sering bergantung pada infrastruktur berasaskan Microsoft untuk operasinya.

Industri ini, seperti kebanyakan yang lain, digesa untuk memeriksa tanda-tanda kompromi.