Peste 400 de organizații au fost compromise în atacurile informatice care vizează platforma Microsoft SharePoint, potrivit companiei olandeze de securitate cibernetică Eye Security. Aceasta a tras primul semnal de alarmă vinerea trecută, chiar înainte ca Microsoft să confirme existența vulnerabilităților critice.
Potrivit Eye Security, atacurile au avut loc în patru valuri începând cu 17 iulie, continuând în următoarele două zile. Alte atacuri au reînceput în 21 iulie.
Printre victime se numără și Departamentul Energiei din SUA (DOE), inclusiv Administrația Națională pentru Securitate Nucleară (NNSA), instituția responsabilă de arsenalul nuclear american.
Pe lângă DOE, și alte agenții guvernamentale și sectoare critice, precum telecomunicațiile și industria software, au fost vizate în atacurile aflate încă în desfășurare.
Potrivit cercetătorilor de la Check Point Research, unul dintre primele atacuri a vizat un „guvern occidental important” încă din 7 iulie.
„Vineri, 18 iulie, o vulnerabilitate zero-day din Microsoft SharePoint a început să afecteze Departamentul Energiei, inclusiv NNSA. Impactul a fost minim, datorită utilizării extinse a serviciilor cloud Microsoft M365 și a sistemelor noastre robuste de securitate cibernetică. Un număr foarte mic de sisteme a fost afectat. Toate sistemele compromise sunt în curs de restaurare. NNSA ia măsurile necesare pentru a reduce riscurile și pentru a face tranziția către soluții alternative, unde este cazul”, a spus purtător de cuvânt al DOE.
Vulnerabilitățile afectează versiunile SharePoint Enterprise Server 2016, SharePoint Server 2019 și SharePoint Server Subscription Edition.
Microsoft a confirmat exploatările abia sâmbătă seara, precizând că este „conștientă de atacurile active care vizează serverele SharePoint instalate local, prin exploatarea unor vulnerabilități parțial acoperite de actualizarea de securitate din iulie.”
Luni seara, compania a publicat patch-uri pentru toate cele trei versiuni.
Vulnerabilitățile identificate permit atacatorilor să treacă de autentificare și să ruleze cod malițios de la distanță. Pe GitHub a fost publicat și un proof-of-concept care arată cum pot fi exploatate împreună.
Atât Google, cât și Microsoft au atribuit atacurile unor actori cibernetici din China, implicați în spionaj și furt de date. Microsoft a avertizat ieri că „și alți actori ar putea folosi aceste exploituri.”
Potrivit Reuters, Microsoft era la curent cu existența unei vulnerabilități în platforma SharePoint, însă soluția oferită inițial nu a remediat complet problema, expunând astfel servere din întreaga lume unor riscuri majore.
Această breșă de securitate a fost exploatată rapid de mai mulți hackeri, care au declanșat o amplă campanie de spionaj cibernetic.
Un purtător de cuvânt al companiei a recunoscut marți că soluția inițială nu a funcționat, dar susține că între timp au fost lansate actualizări care rezolvă complet problema.
