Десятки тысяч серверов SharePoint под угрозой. Microsoft не выпустила исправление.

“Любой, у кого есть размещенный сервер SharePoint, столкнулся с проблемой”, – заявил старший вице-президент компании CrowdStrike, специализирующейся на кибербезопасности. “Это серьезная уязвимость.”

И это привело к новой “глобальной атаке на государственные учреждения и предприятия” в последние несколько дней, в результате которой, по данным официальных лиц и частных исследователей, были взломаны федеральные и региональные органы власти США, университеты, энергетические компании и азиатская телекоммуникационная компания.

По словам экспертов, под угрозой находятся десятки тысяч таких серверов, и Microsoft не выпустила исправление для этой уязвимости, оставив пострадавших по всему миру в поисках решения.

Microsoft предложила пользователям внести изменения в программы SharePoint Server или просто отключить их от интернета, чтобы остановить взлом. Компания Microsoft выпустила предупреждение для клиентов, но отказалась от дальнейших комментариев. “Мы наблюдаем попытки взлома тысяч серверов SharePoint по всему миру до того, как будет выпущено исправление”, – заявил Пит Ренальс (Pete Renals), старший менеджер Unit 42 компании Palo Alto Networks. “Мы выявили десятки скомпрометированных организаций как в коммерческом, так и в государственном секторах.”

Получив доступ к этим серверам, которые часто связаны с электронной почтой Outlook, Teams и другими основными сервисами, злоумышленники могут похитить конфиденциальные данные, а также получить доступ к паролям, отметила голландская исследовательская компания Eye Security. Тревожным фактом является то, что хакеры получили доступ к ключам, которые могут позволить им повторно получить доступ к системе даже после установки исправления. “Поэтому выпуск исправления в понедельник или вторник не поможет тем, кто был скомпрометирован за последние 72 часа”, – сказал один из исследователей на условиях анонимности, поскольку ведется федеральное расследование.

Взломы произошли после того, как Microsoft устранила уязвимость в безопасности в этом месяце. Злоумышленники поняли, что могут использовать аналогичную уязвимость, согласно информации от Агентства по кибербезопасности и инфраструктурной безопасности (CISA) при Министерстве внутренней безопасности США. Представитель CISA Марси Маккарти (Marci McCarthy) сообщила, что агентство было проинформировано о проблеме в пятницу исследовательской фирмой в области кибербезопасности и немедленно связалась с Microsoft. Некоммерческая организация Center for Internet Security, которая поддерживает группу обмена информацией для государственных и местных органов власти, уведомила около 100 организаций о том, что они уязвимы и, возможно, были скомпрометированы, сообщил Рэнди Роуз (Randy Rose), вице-президент организации. Среди предупрежденных были государственные школы и университеты. Среди взломанных также были государственное учреждение в Испании, местное учреждение в Альбукерке и университет в Бразилии, сообщили исследователи в области безопасности.

Согласно статье, существует гораздо больше случаев взлома:

• Компания Eye Security сообщила, что отследила более 50 случаев взлома, в том числе энергетическую компанию в одном из крупных штатов и несколько государственных учреждений в Европе.
• По словам исследователей, по крайней мере два федеральных агентства США столкнулись со взломом своих серверов.
• Один из официальных лиц в восточной части США сообщил, что злоумышленники “взломали” хранилище документов, предоставленное общественности для помощи жителям в понимании работы правительства. Указанное учреждение больше не имеет доступа к этим материалам.

Неясно, кто стоит за этой кибератакой глобального масштаба и какова ее конечная цель. Одна из частных исследовательских компаний обнаружила, что хакеры нацелены на серверы в Китае.