
O vulnerabilitate critică în serverele Microsoft Sharepoint este exploatată masiv de hackeri din întreaga lume și mai ales din China, punând în alertă școli, spitale și agenții guvernamentale, care încearcă să stabilească dacă serverele lor au fost compromise, scrie Axios. Chiar și după aplicarea actualizării de securitate ("patch"), multe sisteme rămân în continuare vulnerabile, dacă hacketii au obținut deja acces ascuns. Microsoft a anunțat că cel puțin trei grupuri de hackeri din China, dintre care două cu legături guvernamentale, exploatează vulnerabilitatea încă din 7 iulie.
Școli, spitale și agenții guvernamentale sunt în alertă, încercând să stabilească dacă serverele lor au fost compromise, a declarat un director de securitate dintr-o companie.
Între timp, hackerii se grăbesc să exploateze breșa, inclusiv grupuri legate de guvernul chinez.
Luni, Microsoft a avertizat despre „atacuri active” care vizează o vulnerabilitate „zero-day” în serverul său SharePoint local. Compania a anunțat că cel puțin trei grupuri de hackeri din China, dintre care două legate de guvern, exploatează vulnerabilitatea încă din 7 iulie. Charles Carmakal, CTO la Mandiant, a spus că mai multe grupuri au început să profite de eroare.
Agenția pentru Securitate Cibernetică și Infrastructură a confirmat că atacatorii pot obține acces la fișiere sensibile sau pot executa cod de la distanță.
100 de organizații au fost compromise până acum
Se estimează că aproape 100 de organizații au fost compromise până acum, printre care agenții guvernamentale, universități, o companie energetică și o firmă de telecomunicații asiatică.
„Nu mai este vorba doar de un singur grup de hackeri, toți profită acum”, a declarat Michael Sikorski, CTO la Unit 42, Palo Alto Networks.
Echipele de securitate vor analiza săptămâni sau luni amploarea atacului și daunele produse.
Hackerii au furat chei de acces, ceea ce le va permite să pătrundă în continuare în sistemele afectate, chiar și după aplicarea patch-ului (actualizare de securitate) pentru SharePoint.
„Atacul se amestecă cu activitatea normală, deci e greu de detectat ce este anormal,” a explicat Kayne McGladrey, expert în securitate.
Multe victime încă nu știu că au fost compromise
Sikorski a precizat că Unit 42 colaborează cu Microsoft pentru a alerta organizațiile afectate, dar multe victime încă nu știu că au fost compromise.
„Organizațiile fără echipe specializate în detectarea amenințărilor sunt expuse riscurilor pe termen lung, deoarece nu au vizibilitatea necesară,” a adăugat McGladrey.
Vulnerabilitatea afectează în special sistemele SharePoint vechi, folosite de entități mici din sectorul public și operatori de infrastructură critică, care rareori au resurse pentru răspuns rapid, potrivit Axios.
„Este îngrijorător că multe dintre aceste organizații nu au capacitatea de a reacționa eficient,” a spus Sikorski.
Experții anticipează valuri succesive de atacuri
Deși Microsoft a lansat un patch pentru toate versiunile afectate, sistemele pot rămâne vulnerabile dacă atacatorii au intrat deja, au furat chei sau au instalat backdoor-uri (breșe ascunse de acces).
Experții în securitate anticipează valuri succesive de atacuri, iar hackerii oportuniști vor exploata rapid serverele vulnerabile pentru a fura date, instala backdoor-uri și pentru a lansa atacuri de tip ransomware.
Între timp, grupuri mai discrete, inclusiv actori statali, vor urmări infiltrarea pe termen lung, furând date sensibile și menținând acces ascuns, care poate rămâne nedetectat luni de zile, mai scrie Axios.