Naruszenie zabezpieczeń Microsoft SharePoint naraża globalne firmy na wykonanie kodu i kradzież danych

Microsoft ściga się, aby usunąć krytyczną lukę w zabezpieczeniach swojego oprogramowania do współpracy SharePoint, która została już wykorzystana przez cyberprzestępców do infiltracji tysięcy organizacji na całym świecie.

Luka w zabezpieczeniach, oznaczona przez Agencję ds. Bezpieczeństwa Cybernetycznego i Infrastruktury (CISA) w weekend, umożliwia nieuwierzytelnionym atakującym uzyskanie pełnego dostępu do zawartości programu SharePoint i zdalne wykonanie kodu w sieciach, których dotyczy problem.

W przeciwieństwie do wielu wcześniejszych incydentów, to naruszenie nie jest teoretyczne. Według badaczy bezpieczeństwa spowodowało to już ataki na żywo.

Ponieważ program SharePoint służy jako szkielet do współpracy nad dokumentami w przedsiębiorstwach na całym świecie, luka ta otwiera drzwi do powszechnej eksfiltracji danych, kradzieży poświadczeń i umieszczania tylnych drzwi.

Firma Microsoft wydała poprawki dla niektórych wersji, których dotyczy problem, ale nie wszystkie systemy są jeszcze chronione, szczególnie te z systemem SharePoint Server 2016, który pozostaje bez poprawki.

Luka w zabezpieczeniach dotyczy lokalnych serwerów programu SharePoint, a nie platformy Microsoft 365

Zgodnie z ostrzeżeniem firmy Microsoft w sobotę, luka dotyczy tylko lokalnych serwerów SharePoint, oszczędzając hostowaną w chmurze platformę Microsoft 365 firmy.

Jednak wiele globalnych firm nadal korzysta z samodzielnie hostowanych wersji programu SharePoint, co zwiększa zasięg zagrożenia.

Europejska firma Eye Security zajmująca się cyberbezpieczeństwem, która jako pierwsza wykryła lukę, zauważyła, że hakerzy mogą podszywać się pod użytkowników lub usługi nawet po zastosowaniu poprawki.

To sprawia, że zagrożenie jest szczególnie trwałe i trudne do powstrzymania.

Atakujący wykorzystują tę lukę do ustanowienia długoterminowego dostępu do systemów przedsiębiorstwa, przemieszczając się bocznie między usługami firmy Microsoft, takimi jak Outlook i Teams, które często są zintegrowane z serwerami SharePoint.

Firmy Microsoft i CISA wydają pilne poprawki zabezpieczeń i ostrzeżenia

W niedzielę Microsoft opublikował poprawki bezpieczeństwa dla dwóch wersji podatnego na ataki oprogramowania SharePoint, ale potwierdził, że nadal opracowuje poprawkę dla wersji 2016.

Firma nie udzieliła jeszcze dalszego komentarza.

Oficjalne ostrzeżenie CISA opisało lukę w zabezpieczeniach jako umożliwiającą "nieuwierzytelniony dostęp do systemów" i ostrzegło, że "stanowi ona zagrożenie dla organizacji".

Agencja nadal ocenia pełny zakres i skalę naruszenia. Organizacje, które jeszcze nie zastosowały poprawek firmy Microsoft, są zachęcane do natychmiastowego zrobienia tego w celu zminimalizowania potencjalnego naruszenia bezpieczeństwa.

Palo Alto Networks potwierdziło, że exploit jest "prawdziwy, na wolności" i stanowi "poważne zagrożenie".

Dyrektor techniczny firmy i szef wywiadu ds. zagrożeń, Michael Sikorski, powiedział, że atakujący są już w zaatakowanych systemach i eksfiltrują dane, kradną klucze kryptograficzne i instalują trwałe złośliwe oprogramowanie, aby utrzymać dostęp.

Tysiące globalnych podmiotów, które mogą być dotknięte aktywnym wykorzystywaniem

Badacze z Palo Alto Networks uważają, że problem ten dotknął już tysiące organizacji na całym świecie.

Biorąc pod uwagę kluczową rolę, jaką SharePoint odgrywa we współpracy w przedsiębiorstwie, zaatakowane systemy nie tylko powodują wyciek dokumentów, ale także ujawniają poufną komunikację wewnętrzną i dane logowania.

Osoby atakujące wykorzystują tę lukę w zabezpieczeniach, aby podszywać się pod uprawnionych użytkowników i poruszać się po połączonych usługach, umożliwiając im wydobycie danych lub eskalację uprawnień.

Nawet załatane systemy mogą pozostać podatne na ataki podszywania się, chyba że zostaną podjęte dodatkowe kroki zaradcze.

Wykorzystanie luki w zabezpieczeniach programu SharePoint jest zgodne ze wzorcem obserwowanym w poprzednich włamaniach cybernetycznych na dużą skalę, w których początkowe punkty wejścia są wykorzystywane do naruszenia bezpieczeństwa szerszej infrastruktury.

Fakt, że naruszenie to pozwala na zdalne wykonywanie kodu przez sieć, dodatkowo zwiększa ryzyko szybkiej propagacji w systemach wewnętrznych.

Niepowiązana awaria IT zakłóca działalność Alaska Airlines

W niepowiązanym incydencie Alaska Airlines poinformowały o krótkim wstrzymaniu operacji naziemnych na około trzy godziny wczesnym rankiem w niedzielę z powodu awarii IT.

Przewoźnik wznowił operacje około godziny 2 w nocy czasu wschodniego. Nie ma obecnie dowodów łączących awarię z trwającym problemem z zabezpieczeniami programu SharePoint.

Jednak czas ten zwiększył obawy o odporność cyfrową w sektorze transportu i lotnictwa, który często opiera swoją działalność na infrastrukturze opartej na Microsoft.

Branża, podobnie jak wiele innych, jest wzywana do sprawdzania, czy nie ma oznak kompromitacji.