Microsoft SharePoint-inbreuk stelt internationale bedrijven bloot aan code-uitvoering en gegevensdiefstal

Microsoft haast zich om een kritieke beveiligingsfout in zijn SharePoint-samenwerkingssoftware in te dammen die al is uitgebuit door bedreigingsactoren om duizenden organisaties wereldwijd te infiltreren.

De kwetsbaarheid, die dit weekend door het Cybersecurity and Infrastructure Security Agency (CISA) is gesignaleerd, stelt niet-geverifieerde aanvallers in staat om volledige toegang te krijgen tot SharePoint-inhoud en externe code uit te voeren op getroffen netwerken.

In tegenstelling tot veel incidenten uit het verleden, is deze inbreuk niet theoretisch. Het heeft al geleid tot live aanvallen, aldus beveiligingsonderzoekers.

Nu SharePoint dient als ruggengraat voor documentsamenwerking in ondernemingen over de hele wereld, opent de fout de deur naar wijdverbreide gegevensexfiltratie, diefstal van inloggegevens en het plaatsen van achterdeurtjes.

Microsoft heeft patches uitgebracht voor een aantal getroffen versies, maar nog niet alle systemen zijn beschermd, met name de systemen met SharePoint Server 2016, die nog steeds geen oplossing hebben.

Beveiligingslek is van invloed op SharePoint-servers op locatie, niet op Microsoft 365

Volgens een waarschuwing van Microsoft op zaterdag treft de kwetsbaarheid alleen on-premise SharePoint-servers, waardoor het in de cloud gehoste Microsoft 365-platform van het bedrijf wordt gespaard.

Veel internationale bedrijven vertrouwen echter nog steeds op zelf-gehoste versies van SharePoint, waardoor het bereik van de dreiging toeneemt.

Het Europese cyberbeveiligingsbedrijf Eye Security, dat de fout voor het eerst ontdekte, merkte op dat hackers zich kunnen voordoen als gebruikers of services, zelfs nadat een patch is toegepast.

Dit maakt de dreiging bijzonder hardnekkig en moeilijk in te dammen.

De aanvallers maken misbruik van de fout om langdurige toegang tot bedrijfssystemen tot stand te brengen, waarbij ze zich lateraal verplaatsen over Microsoft-services zoals Outlook en Teams, die vaak zijn geïntegreerd met SharePoint-servers.

Microsoft en CISA brengen dringende beveiligingspatches en waarschuwingen uit

Op zondag bracht Microsoft beveiligingsfixes uit voor twee versies van de kwetsbare SharePoint-software, maar bevestigde dat het nog steeds bezig was met het ontwikkelen van een patch voor de 2016-versie.

Het bedrijf heeft nog geen verder commentaar gegeven.

De officiële waarschuwing van CISA beschreef de kwetsbaarheid als het mogelijk maken van "niet-geverifieerde toegang tot systemen" en waarschuwde dat het "een risico vormt voor organisaties".

Het bureau is nog steeds bezig met het beoordelen van de volledige omvang en omvang van de inbreuk. Organisaties die de patches van Microsoft nog niet hebben toegepast, worden dringend verzocht dit onmiddellijk te doen om mogelijke compromittering te beperken.

Palo Alto Networks bevestigde dat de exploit "echt, in het wild" is en een "ernstige bedreiging" vormt.

De CTO en hoofd van threat intelligence van het bedrijf, Michael Sikorski, zei dat aanvallers zich al in gecompromitteerde systemen bevinden en gegevens exfiltreren, cryptografische sleutels stelen en persistente malware installeren om toegang te behouden.

Duizenden wereldwijde entiteiten die waarschijnlijk worden getroffen door actieve exploitatie

Onderzoekers van Palo Alto Networks zijn van mening dat duizenden organisaties over de hele wereld al zijn getroffen.

Gezien de centrale rol die SharePoint speelt in zakelijke samenwerking, lekken gecompromitteerde systemen niet alleen documenten, maar leggen ze ook gevoelige interne communicatie en inloggegevens bloot.

Aanvallers maken gebruik van de kwetsbaarheid om zich voor te doen als legitieme gebruikers en door verbonden services te navigeren, waardoor ze gegevens kunnen extraheren of privileges kunnen escaleren.

Zelfs gepatchte systemen kunnen kwetsbaar blijven voor impersonatieaanvallen, tenzij er aanvullende mitigatiemaatregelen worden genomen.

De uitbuiting van de fout van SharePoint volgt een patroon dat te zien is bij eerdere grootschalige cyberinbraken, waarbij initiële toegangspunten worden gebruikt om een bredere infrastructuur in gevaar te brengen.

Het feit dat deze inbreuk het mogelijk maakt om op afstand code uit te voeren via het netwerk, verhoogt het risico van snelle verspreiding over interne systemen verder.

Niet-gerelateerde IT-storing verstoort de activiteiten van Alaska Airlines

In een niet-gerelateerd incident meldde Alaska Airlines een korte stopzetting van haar grondactiviteiten gedurende ongeveer drie uur begin zondag als gevolg van een IT-storing.

De luchtvaartmaatschappij hervatte haar activiteiten rond 2 uur 's nachts EST. Er is momenteel geen bewijs dat de storing in verband brengt met het aanhoudende SharePoint-beveiligingsprobleem.

De timing heeft echter de bezorgdheid vergroot over de digitale veerkracht in de transport- en luchtvaartsector, die voor zijn activiteiten vaak afhankelijk is van op Microsoft gebaseerde infrastructuur.

De industrie wordt, net als vele andere, aangespoord om te controleren op tekenen van compromissen.