Уязвимост в продукт на Microsoft отключва глобален риск от атаки

Хакери са се възползвали от недостатък в сигурността на често използван софтуер на Microsoft Corp., за да проникнат в сървъри на правителства, фирми и други организации по целия свят и да откраднат поверителна информация, според официални лица и изследователи в областта на киберсигурността.

През уикенда Microsoft пусна пач срещу уязвимостта в сървърите на софтуера за управление на документи SharePoint. Компанията заяви, че все още работи по въвеждането на други поправки след предупреждения, че хакери се прицелват в клиенти на SharePoint, използвайки дефекта, за да влизат във файловите системи и да да стартират зловреден код.

Според представители на две фирми за киберсигурност - CrowdStrike Holdings, Inc. и Mandiant Consulting на Google - множество различни хакери извършват атаки чрез уязвимостта на Microsoft.

Още по темата

Китайските хакери продължават опитите си да проникнат в телекоми по целия свят

Кражбите и хакерските атаки на криптовалути вече надминаха нивото от 2024 г.

Лице, запознато с въпроса смята, че хакери вече са използвали недостатъка, за да проникнат в системите на правителства в страни от Европа и Близкия изток. В САЩ те са получили достъп до правителствени системи, включително такива, принадлежащи на Министерството на образованието на САЩ, Агенция по приходите на Флорида и Общото събрание на Роуд Айлънд, каза лицето, което говори при условие да не бъде идентифицирано, защото информацията е чувствителна.

Представители на Министерството на образованието и на законодателния орган на Роуд Айлънд не са отговорили на обажданията и имейлите с молби за коментар в понеделник.

Говорителката на Агенцията по приходите на Флорида Бетани Уестър Кутило заяви в имейл, че уязвимостта на SharePoint се разследва „на различни нива на управление“, но че държавната агенция „не коментира публично софтуера, който използваме за работа“.

Според доклад на фирма за киберсигурност, разгледан от Bloomberg News, хакерите са проникнали и в системите на базиран в САЩ доставчик на здравни услуги и са се насочили към държавен университет в Югоизточна Азия. В доклада не се посочва името на нито една от двете структури, но се казва, че хакерите са се опитали да пробият сървърите на SharePoint в страни, сред които Бразилия, Канада, Индонезия, Испания, Южна Африка, Швейцария, Обединеното кралство и САЩ. Фирмата е помолила да не бъде назовавана поради чувствителността на информацията.

В някои системи, в които са проникнали, хакерите са откраднали идентификационни данни за влизане в системата, включително потребителски имена, пароли, хеш кодове и токени, твърди запознат с въпроса, който също говори при условие да не бъде идентифициран.

„Това е заплаха с висока степен на сериозност и спешност“, заяви Майкъл Сикорски, главен технологичен директор и ръководител на отдел 42 за разузнаване на заплахите в Palo Alto Networks Inc.

„Това, което прави случая особено тревожен, е дълбоката интеграция на SharePoint с платформата на Microsoft, включително техните услуги като Office, Teams, OneDrive и Outlook, в които има цялата ценна за нападателя информация“, каза той.

Още по темата

Как Китай изгражда собствена армия от хакери

Хакери са следили имейлите на 100 американски банкови регулатори над една година

„Компрометирането не остава ограничено - то отваря вратата към цялата мрежа.“

Десетки хиляди - ако не и стотици хиляди - фирми и институции по света използват SharePoint по някакъв начин, за да съхраняват документи и да си сътрудничат с тях. От Microsoft заявиха, че нападателите са насочили атаките конкретно към клиенти, които използват SharePoint сървъри от собствените си локални мрежи, за разлика от тези, които са хоствани и управлявани от технологичната фирма. Това може да ограничи въздействието до част от клиентите.

Говорител на Microsoft отказа да коментира нещо повече от предишно изявление.

„Това е мечта за операторите на ransomware (софтуер за откуп бел. ред)“, казва Силас Кътлър, изследовател в базираната в Мичиган фирма за киберсигурност Censys. По негова оценка на риск са изложени повече от 10 000 компании със сървъри на SharePoint. Според него най-голям брой такива фирми има в САЩ, следвани от Нидерландия, Обединеното кралство и Канада.

Пробивите привлякоха ново внимание към усилията на Microsoft да укрепи киберсигурността си след поредица от високопрофилни хакове. Фирмата е наела ръководители от места като правителството на САЩ и провежда ежеседмични срещи с висши ръководители, за да направи софтуера си по-устойчив.

През последните години технологиите на компанията бяха подложени на няколко широко разпространени и вредни хакерски атаки, а в доклад на правителството на САЩ от 2024 г. се посочва, че културата на сигурност на компанията се нуждае от спешни реформи.

Центърът за интернет сигурност, който управлява система за обмен на информация в областта на киберсигурността за щатските и местните власти в САЩ, установи, че повече от 1100 сървъри са изложени на риск от уязвимостта на SharePoint, казва Ранди Роуз, вицепрезидент на организацията по операциите по сигурността и разузнаването. Роуз заяви, че повече от 100 вероятно са били хакнати.

Вестник Washington Post съобщи, че пробивът е засегнал федерални и държавни агенции на САЩ, университети, енергийни компании и азиатска телекомуникационна компания, като се позова на държавни служители и частни изследователи.

Още по темата

WhatsApp е мишена на руски хакери за събиране на данни за Украйна

Китайски хакери са проникнали в 400 компютъра на Министерството на финансите на САЩ

САЩ планират още действия срещу Китай заради хакерите "Солен тайфун“

Eye Security първа установи, че нападателите активно се възползват от уязвимостите във вълната от кибератаки, която започна в петък, каза Вайша Бърнард, главен хакер и съсобственик на компанията.

Eye Security заяви, че уязвимостта позволява на хакерите да получат достъп до сървърите на SharePoint и да откраднат ключове, чрез които биха могли да се представят за потребители или услуги, дори след като сървърът бъде поправен. Според нея хакерите могат да поддържат достъпа чрез вратички или модифицирани компоненти, които могат да оцелеят след актуализациите и рестартирането на системите.

Уязвимостите в SharePoint, известни като „ToolShell“, бяха идентифицирани за първи път през май от изследователи на конференция по киберсигурност в Берлин. В началото на юли Microsoft издаде кръпки за отстраняване на дупките в сигурността, но хакерите намериха друг начин за проникване.

„Имаше начини за заобикаляне на актуализациите“, които позволиха на хакерите да проникнат в сървърите на SharePoint, като използват подобни уязвимости - каза Бернард. „Това позволи тези атаки да се случат.“ По думите му пробивите не са били целенасочени, а вместо това са имали за цел да компрометират възможно най-много устройства.

След като е сканирал около 8000 сървъра на SharePoint, Бернард казва, че досега е идентифицирал поне 50 успешно компрометирани сървъра.
Той отказа да посочи самоличността на организациите, които са били обект на посегателство, но заяви, че сред тях има правителствени агенции и частни компании, включително „по-големи мултинационални компании“. Жертвите се намират в страни от Северна и Южна Америка, ЕС, Южна Африка и Австралия, добави той.