Microsoft SharePoint-intrång utsätter globala företag för kodexekvering och datastöld

Microsoft tävlar om att begränsa en kritisk säkerhetsbrist i sin SharePoint-samarbetsprogramvara som redan har utnyttjats av hotaktörer för att infiltrera tusentals organisationer globalt.

Sårbarheten, som flaggades av Cybersecurity and Infrastructure Security Agency (CISA) under helgen, gör det möjligt för oautentiserade angripare att få full åtkomst till SharePoint-innehåll och köra fjärrkod i drabbade nätverk.

Till skillnad från många tidigare incidenter är detta brott inte teoretiskt. Det har redan resulterat i skarpa attacker, enligt säkerhetsforskare.

Med SharePoint som fungerar som en ryggrad för dokumentsamarbete i företag över hela världen öppnar bristen dörren för omfattande dataexfiltrering, stöld av autentiseringsuppgifter och plantering av bakdörrar.

Microsoft har utfärdat patchar för vissa berörda versioner, men alla system är inte skyddade ännu, särskilt de som kör SharePoint Server 2016, som fortfarande inte har någon korrigering.

Sårbarheten påverkar lokala SharePoint-servrar, inte Microsoft 365

Enligt en varning från Microsoft på lördagen påverkar sårbarheten endast lokala SharePoint-servrar, vilket skonar företagets molnbaserade Microsoft 365-plattform.

Men många globala företag förlitar sig fortfarande på självhostade versioner av SharePoint, vilket ökar hotets räckvidd.

Det europeiska cybersäkerhetsföretaget Eye Security, som först upptäckte bristen, noterade att hackare kan utge sig för att vara användare eller tjänster även efter att en patch har applicerats.

Detta gör hotet särskilt ihållande och svårt att begränsa.

Angriparna utnyttjar bristen för att upprätta långsiktig åtkomst till företagssystem och rör sig i sidled över Microsoft-tjänster som Outlook och Teams, som ofta är integrerade med SharePoint-servrar.

Microsoft och CISA utfärdar brådskande säkerhetskorrigeringar och varningar

På söndagen släppte Microsoft säkerhetskorrigeringar för två versioner av den sårbara SharePoint-programvaran, men bekräftade att de fortfarande höll på att utveckla en patch för 2016 års version.

Bolaget har ännu inte lämnat några ytterligare kommentarer.

CISA:s officiella varning beskrev sårbarheten som att den möjliggör "oautentiserad åtkomst till system" och varnade för att den "utgör en risk för organisationer".

Myndigheten håller fortfarande på att bedöma den fulla omfattningen och omfattningen av överträdelsen. Organisationer som ännu inte har tillämpat Microsofts patchar uppmanas att göra det omedelbart för att minimera potentiella komprometteringar.

Palo Alto Networks bekräftade att exploateringen är "verklig, i det vilda" och utgör ett "allvarligt hot".

Företagets CTO och chef för hotinformation, Michael Sikorski, sa att angripare redan är inne i komprometterade system och exfiltrerar data, stjäl kryptografiska nycklar och installerar ihållande skadlig kod för att upprätthålla åtkomsten.

Tusentals globala enheter påverkas sannolikt av aktiv exploatering

Forskare vid Palo Alto Networks tror att tusentals organisationer runt om i världen redan har drabbats.

Med tanke på den centrala roll som SharePoint spelar i företagssamarbete läcker komprometterade system inte bara dokument utan exponerar också känslig intern kommunikation och inloggningsuppgifter.

Angripare utnyttjar sårbarheten för att utge sig för att vara legitima användare och navigera genom anslutna tjänster, vilket gör att de kan extrahera data eller eskalera privilegier.

Även korrigerade system kan förbli sårbara för personifieringsattacker om inte ytterligare åtgärder vidtas.

Utnyttjandet av SharePoints brist följer ett mönster som setts i tidigare storskaliga cyberintrång, där initiala ingångspunkter används för att äventyra en bredare infrastruktur.

Det faktum att detta intrång möjliggör fjärrkörning av kod över nätverket ökar ytterligare risken för snabb spridning över interna system.

Orelaterat IT-avbrott stör Alaska Airlines verksamhet

I en orelaterad incident rapporterade Alaska Airlines ett kort stopp i sin markverksamhet i cirka tre timmar tidigt på söndagen på grund av ett IT-avbrott.

Flygbolaget återupptog sin verksamhet runt klockan 2 EST. Det finns för närvarande inga bevis som kopplar avbrottet till det pågående SharePoint-säkerhetsproblemet.

Tidpunkten har dock ökat oron för den digitala motståndskraften inom transport- och luftfartssektorn, som ofta förlitar sig på Microsoft-baserad infrastruktur för sin verksamhet.

Branschen, liksom många andra, uppmanas att leta efter tecken på kompromisser.