Вразливості в програмному забезпеченні Microsoft SharePoint призвели до небезпеки для десятків тисяч локальних серверів, що використовуються світовими бізнесами та агентствами. У суботу Microsoft випустила попередження, що стало відомо про “активні атаки”, і компанія працює над усуненням експлоїту нульового дня.

Виявлення вразливості

Дослідники з компанії Eye Security вперше виявили цю вразливість 18 липня, яка дозволяє хакерам отримувати доступ до певних локальних версій SharePoint і викрадати ключі, що дають можливість видавати себе за користувачів чи сервіси, навіть після перезавантаження чи оновлення сервера. Це означає, що сервери, які вже були скомпрометовані, можуть залишатися у небезпеці для бізнесу, тоді як хмарні версії SharePoint не піддаються цьому загрозам.

Використання експлоїту

Хакери можуть використовувати експлойт нульового дня для крадіжки чутливих даних, збору паролів та переміщення по порушеній мережі через сервіси, які часто підключені до SharePoint, такі як Outlook, Teams та OneDrive. Експлоїт, судячи з усього, виник внаслідок поєднання двох помилок, представлених на конкурсі зламу Pwn2Own у травні, що дозволило неаутентифікований доступ до серверів SharePoint.

Патчі від Microsoft

Microsoft випустила патчі для “повного захисту” серверів SharePoint 2019 та SharePoint Subscription Edition, а також активно працює над патчем для SharePoint 2016.

Рекомендації від CISA

Агентство з кібербезпеки та охорони інфраструктури США (CISA) повідомило, що масштаби і наслідки атак ще оцінюються, і всі сервери, які зазнали впливу експлоїту, слід відключити від інтернету до отримання офіційного рішення. Цей експлоїт уже використовувався для атак на федеральні та державні установи США, університети, енергетичні компанії та одну з азіатських телекомунікаційних компаній.