Microsoft ir brīdinājis organizācijas par aktīviem uzbrukumiem, kas izmanto neaizsargātību SharePoint serveros, ietekmējot vairāk nekā 10 000 uz vietas uz vietas, ieskaitot uzņēmumus un valdības aģentūras. Nulles dienas izmantošana ir izraisījusi plašas bažas, izraisot drošības brīdinājumus un izmeklēšanu vairākās valstīs.
Microsoft atzina pārkāpumu drošības padomos, kas tika publicēti nedēļas nogalē, un mudināja skartās organizācijas nekavējoties īstenot aizsardzības pasākumus. Ievainojamība neietekmē SharePoint tiešsaistē Microsoft 365, kas darbojas mākonī, bet uz vietas esošie serveri joprojām ir pakļauti riskam.
Šķiet, ka uzbrukums ir viena drauda aktiera darbs – vismaz pagaidām. Rafe Pilling, Lielbritānijas kiberdrošības firmas Sophos draudu izlūkošanas direktors, sacīja, ka pierādījumi norāda uz koordinētu kampaņu.
“Balstoties uz tradeCraft konsekvenci, kas novērota novērotajos uzbrukumos, piektdien uzsāktā kampaņa, šķiet, ir viens aktieris. Tomēr ir iespējams, ka tas ātri mainīsies,” sacīja Pillings.
Šajā TradeCraft ietvēra atkārtotu vienas un tās pašas digitālās kravas izmantošanu pret vairākiem mērķiem, kas liecina par apzinātu un aprēķinātu streiku.
Ekspozīcijas mērogs ir nozīmīgs. Saskaņā ar Shodan datiem, meklētājprogrammu, kas skenē un indeksē ar internetu savienotām ierīcēm, tiešsaistē ir identificēti vairāk nekā 8000 neaizsargātu SharePoint serveru. Šie serveri pieder virknei organizāciju, ieskaitot bankas, revīzijas firmas, veselības aprūpes pakalpojumu sniedzējus un dažādas valdības aģentūras gan valsts, gan starptautiskā līmenī.
Microsoft ievainojamība ietekmē visus SharePoint serverī
Microsoft jau ir izlaidis plāksteri skartām SharePoint versijām. Tie, kas darbojas SharePoint 2019 vai SharePoint abonementa izdevumā, tagad var lejupielādēt un pielietot drošības plāksteri, lai aizsargātu pret CVE-2025-53770 ievainojamību. Tomēr organizācijām, kas izmanto SharePoint 2016, joprojām tiek izstrādāts labojums. Līdz tam sistēmas joprojām ir pakļautas iespējamiem uzbrukumiem, ja tā nav citādi.
Microsoft mudina visus administratorus rīkoties ātri, piemērojot nepieciešamos atjauninājumus un izmeklējot viņu sistēmas, lai iegūtu kompromisa pazīmes. Bet daži eksperti brīdina, ka ar labošanu vien var nepietikt.
“Šķiet, ka SharePoint incidents ir radījis plašu kompromisa līmeni dažādos serveros visā pasaulē,” sacīja Daniels Card no British Cyberecurity Consultancy Pwndefend. “Pieņemamā pārkāpuma pieeja ir saprātīga, un ir arī svarīgi saprast, ka tikai plākstera piemērošana nav viss, kas šeit ir nepieciešams.”
Kritiskā SharePoint izmanto pakļautu
Amatā ar nosaukumu “Kritiskā SharePoint izmantošana ir pakļauta: MDVM reakcija un aizsardzības stratēģija”, Microsoft apstiprināja, ka aktīvi izseko notiekošos uzbrukumus, kas vērsti uz vietējiem SharePoint Server klientiem. Uzņēmums ieskicēja ielāpu statusu, kas saistīts ar vairākām ievainojamībām, ieskaitot nulles dienas trūkumu, kas jau ir izmantots savvaļā.
Zemāk ir skarto produktu saraksts, saskaņā ar Microsoft:
Skartie produkti un versijas
| Produkts | CVE – 2025–49704 | CVE – 2025–49706 | CVE – 2025–53770 | CVE – 2025–53771 |
| SharePoint servera abonēšanas izdevums | ✅ ietekmēts | ✅ ietekmēts | ✅ ietekmēts | ✅ ietekmēts |
| SharePoint Server 2019 | ✅ ietekmēts | ✅ ietekmēts | ✅ ietekmēts | ✅ ietekmēts |
| SharePoint Server 2016 | ✅ ietekmēts | ✅ ietekmēts | ✅ ietekmēts | ✅ ietekmēts |
| SharePoint tiešsaistē | ❌ neietekmē | ❌ neietekmē | ❌ neietekmē | ❌ neietekmē |
Microsoft arī sīki aprakstīja riskus, kas saistīti ar pārkāpumu:
Trieciens
Izmantošana rada tūlītējus draudus SharePoint infrastruktūrai, īpaši sistēmām, kuras ir publiski pieejamas no interneta. Vissmagākā no ievainojamībāmCVE-2025-53770—Laves neautentificēti uzbrucēji, lai pilnībā apdraudētu skartos serverus, bez akreditācijas datiem.
Vecākas, neatbalstītas versijas, piemēram, SharePoint 2010 un 2013, joprojām ir pakļautas, un nav gaidāmi ielāpi. Microsoft iesaka nekavējoties izolēt vai samazināt šīs sistēmas.
Pašlaik joprojām nav skaidrs, kurš ir aiz uzbrukuma. FBI apstiprināja, ka tā apzinās situāciju un sadarbojas ar federālā un privātā sektora partneriem, lai izmeklētu. Lielbritānijas Nacionālais kiberdrošības centrs vēl nav izdevis atbildi.
The Washington Post ziņoja, ka ekspluatācija jau ir izmantota, lai mērķētu uz aģentūrām un uzņēmumiem gan ASV, gan ārvalstīs.
Situācija turpinās, un, ņemot vērā tagad publisko izmantošanu, visticamāk, notiks kopiju uzbrukumi. Pagaidām Microsoft un kiberdrošības komandas visā pasaulē sacenšas, lai ierobežotu kaitējumu – lai gan viss pārkāpuma apjoms joprojām ir jāredz.
Kā šis pārkāpums ir salīdzināms ar iepriekšējiem Microsoft drošības gadījumiem
Šī nav pirmā reize, kad Microsoft nācās saskarties ar plašu izmantošanu, kas paredzēta tās uzņēmuma programmatūrai. 2021. gadā Microsoft Exchange serverus skāra liela mēroga uzbrukums, kas visā pasaulē apdraudēja vairāk nekā 250 000 sistēmu. Šis incidents, kas vēlāk tika attiecināts uz valsts sponsorētiem aktieriem, izmantoja četras iepriekš nezināmas ievainojamības un ļāva uzbrucējiem piekļūt e-pastiem, instalēt aizmugures un aizkavēt datus no plašas organizāciju loka, ieskaitot valdības aģentūras un kritisko infrastruktūru.
Šis SharePoint pārkāpums, kaut arī atšķirīgs pēc darbības jomas un dabā, jūtas ārkārtīgi pazīstams: nulles dienas izmantošana, liela uzstādīta pakārtoto serveru bāze un motokross, lai ielāptu un novērtētu zaudējumus pēc fakta. Šis uzbrukums padara īpaši bīstamu, ka SharePoint bieži ir dziļi iestrādāts iekšējos tīklos – izmantots dokumentu apmaiņai, sadarbībai un piekļuves kontrolei. Daudzos gadījumos kompromitētie SharePoint serveri varētu darboties kā pakāpieni lielākajā uzņēmuma vidē.
Kādas organizācijām būtu jādara, pārsniedzot lāpstiņu
Microsoft ir izlaidis plāksterus SharePoint 2019 un Aboncription Edition, taču šeit nav pietiekami. Drošības eksperti iesaka organizācijām izmantot slāņainas atbildes pieeju:
-
Pieņemsim, ka pārkāpums: Organizācijām jāuzskata par jebkuru nepiespiestu vai nesen izlabotu SharePoint serveri kā potenciāli kompromitētu. Veiciet kriminālistikas pārbaudes, pārskata žurnālus un meklējiet kompromisa rādītājus (SOK), ko nodrošina Microsoft vai draudu intel pārdevēji.
-
Ierobežot ārējo ekspozīciju: Ja jūsu SharePoint serveri ir tieši pakļauti internetam, tagad ir pienācis laiks pārskatīt šo iestatīšanu. Izmantojiet VPN vai starpniekservera slāņus, lai ierobežotu sabiedrības piekļuvi.
-
Pārrauga sānu kustību: Ja uzbrucēji ir ieguvuši piekļuvi vienam serverim, viņi, iespējams, zondē iekšējo tīklu turpmākai ievainojamībai. Galapunkta noteikšanas rīki un sānu kustības analīze var palīdzēt saturēt izplatību.
-
Atjaunināt negadījumu reakcijas plānus: Daudzi orgi joprojām koncentrē savus IR playbooks uz izpirkuma programmatūru vai pikšķerēšanu. Šis uzbrukums uzsver nepieciešamību pēc labākas gatavības ap nulles dienu infrastruktūras pārkāpumiem.
-
Izolēt mantotās sistēmas: SharePoint 2010 un 2013 paliek nepiespiests un neatbalstīts. Jebkura ilgstoša izvietošana ir nekavējoties jāslēdz vai jāslēdz.
Kāpēc tas ir svarīgi
Šādi gadījumi nav tikai tehnoloģiju stāsti – tie ir nacionālās drošības pasākumi. Tā kā valdības un veselības aprūpes sistēmas katru dienu paļaujas uz šīm platformām, pat īss kompromiss var izraisīt sensitīvu datu iedarbību, pakalpojumu traucējumus vai turpmākus uzbrukumus.
Un, palielinoties mākoņu migrācijai, šie uzbrukumi rada atjaunotu spiedienu uz uzņēmumiem, kas joprojām darbojas ar mantojumu uz vietas, kas bieži ir normatīvo, integrācijas vai budžeta ierobežojumu dēļ. Uzbrucējiem tas ir augļi ar zemu piekārtiem. Aizstāvākiem tas ir murgs, kas nepazūd ar vienu plāksteri.
🚀 Vai vēlaties, lai jūsu stāsts būtu redzams?
Iegūstiet tūkstošiem dibinātāju, investoru, PE firmas, tehnoloģiju vadītāju, lēmumu pieņēmēju un tehnoloģiju lasītāju priekšā, iesniedzot savu stāstu Techstarts.comApvidū
Piedāvājiet
