Microsoft SharePoint ihlali, küresel firmaları kod yürütme ve veri hırsızlığına maruz bırakıyor

Microsoft, SharePoint işbirliği yazılımında, tehdit aktörleri tarafından dünya çapında binlerce kuruluşa sızmak için zaten kullanılmış olan kritik bir güvenlik açığını kontrol altına almak için yarışıyor.

Hafta sonu Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) tarafından işaretlenen güvenlik açığı, kimliği doğrulanmamış saldırganların SharePoint içeriğine tam erişim elde etmesine ve etkilenen ağlarda uzaktan kod yürütmesine olanak tanıyor.

Geçmişteki birçok olayın aksine, bu ihlal teorik değildir. Güvenlik araştırmacılarına göre, zaten canlı saldırılarla sonuçlandı.

SharePoint'in dünya çapındaki kuruluşlarda belge işbirliği için bir omurga görevi görmesiyle, kusur yaygın veri hırsızlığına, kimlik bilgisi hırsızlığına ve arka kapıların yerleştirilmesine kapı açıyor.

Microsoft, etkilenen bazı sürümler için yamalar yayınladı, ancak henüz tüm sistemler, özellikle de SharePoint Server 2016 çalıştıranlar henüz korunmadı.

Güvenlik açığı Microsoft 365'i değil SharePoint şirket içi sunucularını etkiliyor

Cumartesi günü Microsoft'tan gelen bir uyarıya göre, güvenlik açığı yalnızca şirket içi SharePoint sunucularını etkiliyor ve şirketin bulutta barındırılan Microsoft 365 platformunu koruyor.

Bununla birlikte, birçok küresel işletme hala SharePoint'in şirket içinde barındırılan sürümlerine güveniyor ve bu da tehdidin erişimini artırıyor.

Kusuru ilk tespit eden Avrupalı siber güvenlik firması Eye Security, bilgisayar korsanlarının bir yama uygulandıktan sonra bile kullanıcıları veya hizmetleri taklit edebileceğini belirtti.

Bu, tehdidi özellikle kalıcı ve kontrol altına alınmasını zorlaştırır.

Saldırganlar, genellikle SharePoint sunucularıyla entegre olan Outlook ve Teams gibi Microsoft hizmetleri arasında yanal olarak hareket ederek kurumsal sistemlere uzun vadeli erişim sağlamak için bu kusurdan yararlanıyor.

Microsoft ve CISA acil güvenlik yamaları ve uyarıları yayınlar

Pazar günü Microsoft, savunmasız SharePoint yazılımının iki sürümü için güvenlik düzeltmeleri yayınladı, ancak 2016 sürümü için hala bir yama geliştirdiğini doğruladı.

Şirket henüz daha fazla yorum yapmadı.

CISA'nın resmi uyarısı, güvenlik açığını "sistemlere kimliği doğrulanmamış erişim" sağlamak olarak nitelendirdi ve bunun "kuruluşlar için bir risk oluşturduğu" konusunda uyardı.

Ajans hala ihlalin tam kapsamını ve ölçeğini değerlendiriyor. Microsoft'un yamalarını henüz uygulamamış olan kuruluşların, olası uzlaşmayı azaltmak için bunu hemen yapmaları isteniyor.

Palo Alto Networks, istismarın "gerçek, vahşi" olduğunu ve "ciddi bir tehdit" oluşturduğunu doğruladı.

Şirketin CTO'su ve tehdit istihbaratı başkanı Michael Sikorski, saldırganların zaten güvenliği ihlal edilmiş sistemlerin içinde olduğunu ve erişimi sürdürmek için veri sızdırdığını, kriptografik anahtarları çaldığını ve kalıcı kötü amaçlı yazılım yüklediğini söyledi.

Aktif sömürüden etkilenmesi muhtemel binlerce küresel kuruluş

Palo Alto Networks'teki araştırmacılar, dünya çapında binlerce kuruluşun şimdiden etkilendiğine inanıyor.

SharePoint'in kurumsal işbirliğinde oynadığı merkezi rol göz önüne alındığında, güvenliği ihlal edilmiş sistemler yalnızca belgeleri sızdırmakla kalmıyor, aynı zamanda hassas iç iletişimleri ve oturum açma kimlik bilgilerini de açığa çıkarıyor.

Saldırganlar, meşru kullanıcıların kimliğine bürünmek ve bağlı hizmetlerde gezinmek için güvenlik açığından yararlanarak veri çıkarmalarına veya ayrıcalıkları yükseltmelerine olanak tanıyor.

Yama uygulanmış sistemler bile, ek risk azaltma adımları atılmadığı sürece kimliğe bürünme saldırılarına karşı savunmasız kalabilir.

SharePoint'in kusurundan yararlanılması, ilk giriş noktalarının daha geniş altyapıyı tehlikeye atmak için kullanıldığı önceki büyük ölçekli siber saldırılarda görülen bir modeli takip ediyor.

Bu ihlalin ağ üzerinden uzaktan kod yürütülmesine izin vermesi, dahili sistemler arasında hızlı yayılma riskini daha da artırır.

İlgisiz BT kesintisi Alaska Airlines operasyonlarını aksatıyor

İlgisiz bir olayda, Alaska Havayolları, bir BT kesintisi nedeniyle Pazar günü erken saatlerde yer operasyonlarında yaklaşık üç saat boyunca kısa bir duraklama bildirdi.

Taşıyıcı, saat 2 EST civarında faaliyetlerine devam etti. Kesintiyi devam eden SharePoint güvenlik sorunuyla ilişkilendiren geçerli bir kanıt yoktur.

Ancak zamanlama, operasyonları için sıklıkla Microsoft tabanlı altyapıya dayanan ulaştırma ve havacılık sektöründeki dijital dayanıklılıkla ilgili endişeleri artırdı.

Sektör, diğerleri gibi, uzlaşma belirtilerini kontrol etmeye çağrılıyor.