Microsoft era la curent cu existența unei vulnerabilități în platforma SharePoint, însă soluția oferită inițial nu a remediat complet problema, expunând astfel servere din întreaga lume unor riscuri majore. Această breșă de securitate a fost exploatată rapid de mai mulți hackeri, care au declanșat o amplă campanie de spionaj cibernetic, potrivit unei anchete Reuters.
Un purtător de cuvânt al companiei a recunoscut marți că soluția inițială nu a funcționat, dar susține că între timp au fost lansate actualizări care rezolvă complet problema.
Încă nu se știe clar cine se află în spatele atacurilor, dar în doar câteva zile au fost vizate aproximativ 100 de organizații și e de așteptat ca fenomenul să se extindă.
Microsoft a spus că în spatele acestor atacturi ar fi trei grupuri de hackeri din China.
Autoritățile chineze neagă însă orice implicare. Ambasada Chinei în SUA a transmis printr-un comunicat că țara se opune atacurilor cibernetice și că nu este corect să fie acuzată fără dovezi clare.
Vulnerabilitatea fost descoperită în luna mai
Vulnerabilitatea a fost descoperită pentru prima dată în luna mai, la un concurs de hacking organizat la Berlin de firma de securitate Trend Micro.
Concursul a oferit 100.000 de dolari pentru descoperirea așa-numitelor „zero-day” (probleme de securitate necunoscute anterior). SharePoint, platforma Microsoft pentru colaborarea pe documente, a fost una dintre țintele analizate.
Bloomberg a relatat că una dintre instituțiile afectate de atacuri a fost Administrația Națională pentru Securitate Nucleară a SUA, dar până acum nu se știe dacă au fost compromise informații sensibile.
Un cercetător de la compania de telecomunicații Viettel (controlată de armata vietnameză) a fost cel care a identificat vulnerabilitatea, a numit-o „ToolShell” și a demonstrat cum se poate folosi pentru un atac. El a fost recompensat cu 100.000 de dolari.
Trend Micro a reamintit că firmele care participă la aceste competiții trebuie să rezolve rapid și eficient problemele semnalate. Totuși, a admis că „uneori patch-urile pot eșua”, lucru care s-a mai întâmplat și în trecut cu SharePoint.
În 8 iulie, Microsoft a anunțat oficial că a identificat problema, a clasificat-o drept critică și a lansat actualizări. Însă în mai puțin de două săptămâni, firmele de securitate au început să observe o activitate suspectă masivă care viza tocmai serverele SharePoint.
Firma britanică Sophos a spus că hackerii au găsit modalități de a ocoli patch-urile lansate de Microsoft.
O problemă care s-a extins în totată lumea
Riscul rămâne ridicat: potrivit Shodan, un motor de căutare care scanează echipamente conectate la internet, ar putea exista peste 8.000 de servere SharePoint deja vulnerabile.
Acestea aparțin unor bănci, companii de sănătate, firme industriale, dar și instituții guvernamentale din SUA și din alte țări.
O altă organizație, Shadowserver Foundation, care scanează internetul pentru a descoperi breșe de securitate, estimează că peste 9.000 de servere ar putea fi afectate, majoritatea în SUA și Germania.
Totuși, Oficiul Federal pentru Securitate Cibernetică din Germania (BSI) a anunțat că, deși unele servere guvernamentale sunt vulnerabile, nu există dovezi că ar fi fost compromise.
