Microsoft SharePoint-brudd utsetter globale firmaer for kodekjøring og datatyveri

Microsoft kappes om å begrense en kritisk sikkerhetsfeil i SharePoint-samarbeidsprogramvaren som allerede har blitt utnyttet av trusselaktører til å infiltrere tusenvis av organisasjoner globalt.

Sårbarheten, flagget av Cybersecurity and Infrastructure Security Agency (CISA) i helgen, gjør det mulig for uautentiserte angripere å få full tilgang til SharePoint-innhold og kjøre ekstern kode på tvers av berørte nettverk.

I motsetning til mange tidligere hendelser, er ikke dette bruddet teoretisk. Det har allerede resultert i live-angrep, ifølge sikkerhetsforskere.

Med SharePoint som en ryggrad for dokumentsamarbeid i bedrifter over hele verden, åpner feilen døren for utbredt dataeksfiltrering, legitimasjonstyveri og planting av bakdører.

Microsoft har utstedt oppdateringer for noen berørte versjoner, men ikke alle systemer er beskyttet ennå, spesielt de som kjører SharePoint Server 2016, som forblir uten reparasjon.

Sikkerhetsproblemet påvirker lokale SharePoint-servere, ikke Microsoft 365

I følge et varsel fra Microsoft på lørdag påvirker sårbarheten bare lokale SharePoint-servere, noe som sparer selskapets skybaserte Microsoft 365-plattform.

Mange globale bedrifter er imidlertid fortsatt avhengige av selvdriftede versjoner av SharePoint, noe som øker rekkevidden til trusselen.

Det europeiske cybersikkerhetsfirmaet Eye Security, som først oppdaget feilen, bemerket at hackere kan utgi seg for brukere eller tjenester selv etter at en oppdatering er påført.

Dette gjør trusselen spesielt vedvarende og vanskelig å begrense.

Angriperne utnytter feilen til å etablere langsiktig tilgang til bedriftssystemer, og beveger seg sideveis på tvers av Microsoft-tjenester som Outlook og Teams, som ofte er integrert med SharePoint-servere.

Microsoft og CISA utsteder presserende sikkerhetsoppdateringer og advarsler

Søndag ga Microsoft ut sikkerhetsrettinger for to versjoner av den sårbare SharePoint-programvaren, men bekreftet at de fortsatt utviklet en oppdatering for 2016-versjonen.

Selskapet har ennå ikke gitt ytterligere kommentarer.

CISAs offisielle advarsel beskrev sårbarheten som å muliggjøre «uautentisert tilgang til systemer» og advarte om at den «utgjør en risiko for organisasjoner».

Byrået vurderer fortsatt det fulle omfanget og omfanget av bruddet. Organisasjoner som ennå ikke har tatt i bruk Microsofts oppdateringer, oppfordres til å gjøre det umiddelbart for å redusere potensiell kompromittering.

Palo Alto Networks bekreftet at utnyttelsen er «ekte, i naturen» og utgjør en «alvorlig trussel».

Selskapets CTO og sjef for trusseletterretning, Michael Sikorski, sa at angripere allerede er inne i kompromitterte systemer og eksfiltrerer data, stjeler kryptografiske nøkler og installerer vedvarende skadelig programvare for å opprettholde tilgangen.

Tusenvis av globale enheter sannsynligvis berørt av aktiv utnyttelse

Forskere ved Palo Alto Networks mener at tusenvis av organisasjoner rundt om i verden allerede har blitt påvirket.

Gitt den sentrale rollen SharePoint spiller i bedriftssamarbeid, lekker kompromitterte systemer ikke bare dokumenter, men avslører også sensitiv intern kommunikasjon og påloggingsinformasjon.

Angripere utnytter sårbarheten til å utgi seg for å være legitime brukere og navigere gjennom tilkoblede tjenester, slik at de kan trekke ut data eller eskalere privilegier.

Selv oppdaterte systemer kan forbli sårbare for etterligningsangrep med mindre ytterligere avbøtende tiltak iverksettes.

Utnyttelsen av SharePoints feil følger et mønster sett i tidligere storskala cyberinntrengninger, der innledende inngangspunkter brukes til å kompromittere bredere infrastruktur.

Det faktum at dette bruddet tillater ekstern kjøring av kode over nettverket øker risikoen for rask forplantning på tvers av interne systemer ytterligere.

Ikke-relatert IT-avbrudd forstyrrer Alaska Airlines-driften

I en ikke-relatert hendelse rapporterte Alaska Airlines en kort stopp i bakkeoperasjonene i omtrent tre timer tidlig søndag på grunn av et IT-brudd.

Hangarskipet gjenopptok driften rundt kl. 2 EST. Det er ingen gjeldende bevis som knytter strømbruddet til det pågående SharePoint-sikkerhetsproblemet.

Timingen har imidlertid økt bekymringene for digital motstandskraft i transport- og luftfartssektoren, som ofte er avhengig av Microsoft-basert infrastruktur for sin virksomhet.

Bransjen, som mange andre, blir oppfordret til å se etter tegn på kompromisser.