Breșa Microsoft SharePoint expune firmele globale la executarea codului și furtul de date

Microsoft se grăbește să limiteze un defect critic de securitate în software-ul său de colaborare SharePoint, care a fost deja exploatat de actorii amenințărilor pentru a se infiltra în mii de organizații la nivel global.

Vulnerabilitatea, semnalată de Agenția de Securitate Cibernetică și Securitate a Infrastructurii (CISA) în weekend, permite atacatorilor neautentificați să obțină acces complet la conținutul SharePoint și să execute cod de la distanță în rețelele afectate.

Spre deosebire de multe incidente din trecut, această breșă nu este teoretică. A dus deja la atacuri reale, potrivit cercetătorilor de securitate.

Cu SharePoint servind ca coloană vertebrală pentru colaborarea documentelor în companiile din întreaga lume, defectul deschide ușa exfiltrării pe scară largă a datelor, furtului de acreditări și plantării de uși din spate.

Microsoft a emis patch-uri pentru unele versiuni afectate, dar nu toate sistemele sunt încă protejate, în special cele care rulează SharePoint Server 2016, care rămâne fără o remediere.

Vulnerabilitatea afectează serverele locale SharePoint, nu Microsoft 365

Potrivit unei alerte de la Microsoft de sâmbătă, vulnerabilitatea afectează doar serverele SharePoint on-premise, cruțând platforma Microsoft 365 găzduită în cloud a companiei.

Cu toate acestea, multe companii globale încă se bazează pe versiuni auto-găzduite de SharePoint, crescând acoperirea amenințării.

Firma europeană de securitate cibernetică Eye Security, care a detectat pentru prima dată defectul, a remarcat că hackerii pot uzurpa identitatea utilizatorilor sau serviciilor chiar și după aplicarea unui patch.

Acest lucru face ca amenințarea să fie deosebit de persistentă și dificil de controlat.

Atacatorii exploatează defectul pentru a stabili accesul pe termen lung la sistemele companiei, deplasându-se lateral prin servicii Microsoft precum Outlook și Teams, care sunt adesea integrate cu serverele SharePoint.

Microsoft și CISA emit corecții și avertismente de securitate urgente

Duminică, Microsoft a lansat remedieri de securitate pentru două versiuni ale software-ului vulnerabil SharePoint, dar a confirmat că încă dezvoltă un patch pentru versiunea 2016.

Compania nu a oferit încă alte comentarii.

Avertismentul oficial al CISA a descris vulnerabilitatea ca permițând "accesul neautentificat la sisteme" și a avertizat că "prezintă un risc pentru organizații".

Agenția încă evaluează amploarea și amploarea încălcării. Organizațiile care nu au aplicat încă patch-urile Microsoft sunt îndemnate să facă acest lucru imediat pentru a atenua potențialul compromis.

Palo Alto Networks a confirmat că exploit-ul este "real, în sălbăticie" și reprezintă o "amenințare serioasă".

Directorul tehnic al companiei și șeful departamentului de informații despre amenințări, Michael Sikorski, a declarat că atacatorii se află deja în interiorul sistemelor compromise și exfiltrează date, fură chei criptografice și instalează malware persistent pentru a menține accesul.

Mii de entități globale probabil afectate de exploatarea activă

Cercetătorii de la Palo Alto Networks cred că mii de organizații din întreaga lume au fost deja afectate.

Având în vedere rolul central pe care SharePoint îl joacă în colaborarea la nivel de întreprindere, sistemele compromise nu numai că scurg documente, dar expun și comunicații interne sensibile și acreditări de conectare.

Atacatorii folosesc vulnerabilitatea pentru a uzurpa identitatea utilizatorilor legitimi și a naviga prin serviciile conectate, permițându-le să extragă date sau să escaladeze privilegiile.

Chiar și sistemele cu patch-uri pot rămâne vulnerabile la atacuri de uzurparea identității, dacă nu se iau măsuri suplimentare de atenuare.

Exploatarea defectului SharePoint urmează un model observat în intruziunile cibernetice anterioare la scară largă, în care punctele de intrare inițiale sunt utilizate pentru a compromite infrastructura mai largă.

Faptul că această breșă permite executarea de la distanță a codului în rețea crește și mai mult riscul de propagare rapidă în sistemele interne.

Întreruperea IT fără legătură perturbă operațiunile Alaska Airlines

Într-un incident fără legătură, Alaska Airlines a raportat o scurtă oprire a operațiunilor sale la sol timp de aproximativ trei ore duminică dimineață din cauza unei întreruperi IT.

Transportatorul și-a reluat operațiunile în jurul orei 2 dimineața EST. Nu există dovezi actuale care să lege întreruperea de problema de securitate SharePoint în curs.

Cu toate acestea, momentul a sporit îngrijorările cu privire la reziliența digitală în sectorul transporturilor și aviației, care se bazează frecvent pe infrastructura bazată pe Microsoft pentru operațiunile sale.

Industria, ca multe altele, este îndemnată să verifice semnele de compromis.