Microsoft SharePoint dotknięty groźnym atakiem. Ofiarą setki organizacji rządowych na całym świecie
Microsoft wydał ostrzeżenie dotyczące ataków na lokalnie hostowane serwery SharePoint, które wykorzystują nieznaną wcześniej lukę zero-day. Eksperci ds. cyberbezpieczeństwa ujawnili, że w wyniku kampanii dotkniętych zostało co najmniej 100 organizacji na całym świecie.
Wśród zaatakowanych instytucji znajdują się m.in. liczne podmioty rządowe z z USA i Niemiec. Liczba zagrożonych serwerów może się jednak zwiększać, gdyż wiele organizacji wciąż nie zabezpieczyło swoich systemów.
Luka zero-day w SharePoint umożliwia hakerom trwały dostęp
Atak dotyczy wyłącznie serwerów SharePoint zainstalowanych i zarządzanych samodzielnie przez organizacje, według Microsoftu wersje hostowane w chmurze tej firmy pozostają bezpieczne. Eksploatacja tej wcześniej nieznanej luki pozwala włamywaczom nie tylko na przejęcie kontroli, ale też na zainstalowanie tylnego wejścia, które umożliwia utrzymanie dostępu do systemu przez dłuższy czas.
Jest to jednoznaczne. Nie wiadomo, jakie inne grupy mogły w międzyczasie wprowadzić dodatkowe tylne drzwi.
Bernard, która wraz z organizacją Shadowserver Foundation przeprowadziła analizę, wskazała, że wykryto około 100 zaatakowanych organizacji, choć skala problemu prawdopodobnie jest znacznie większa. Spośród ofiar największą część stanowią podmioty z USA i Niemiec, w tym także agencje rządowe.
Rafe Pilling, dyrektor ds. analiz zagrożeń w firmie Sophos, zauważa, że na chwilę obecną działania te wyglądają na dzieło pojedynczego podmiotu, lecz sytuacja może się dynamicznie zmienić i przyciągnąć kolejne grupy cyberprzestępców.
Kto odpowiada za ataki?
Microsoft już wydał odpowiednie poprawki i wzywa użytkowników do ich jak najszybszego zastosowania. Tożsamość sprawców pozostaje niejasna, chociaż Google powiązało część aktywności z grupą o powiązaniach z Chinami. Chińska ambasada w Waszyngtonie nie komentuje sprawy.
FBI i brytyjski National Cyber Security Center poinformowały, że monitorują sytuację i współpracują z sektorem prywatnym oraz rządami, by ograniczyć szkody. W Wielkiej Brytanii wykryto niewielką liczbę zagrożonych podmiotów, głównie związanych z administracją publiczną.
Incydent związany z SharePointem pokazuje szerokie spektrum zagrożenia serwerów na całym świecie. Przyjęcie założenia, że doszło do naruszenia, jest rozsądne, a samo zastosowanie łatki nie wystarczy.
Według danych wyszukiwarki Shodan i organizacji Shadowserver, na świecie jest ponad 8-9 tysięcy serwerów SharePoint, które mogą być podatne na ten atak. Wśród nich znajdują się instytucje z branży finansowej, przemysłowej, medycznej oraz różne rządowe jednostki na szczeblu lokalnym i międzynarodowym.
Grzegorz Karaś, dziennikarz pcformat.pl
