Опасная уязвимость в SharePoint: риск для государственных структур и частных компаний
Киберпреступники активно используют новую нулевую уязвимость в программном обеспечении SharePoint Server от Microsoft. Эта проблема особенно опасна, поскольку затрагивает версии программного обеспечения, размещённые на собственных серверах организаций, включая ключевые государственные учреждения США, связанные с национальной безопасностью. В то время как облачные версии SharePoint остаются защищёнными, большинство крупных государственных и частных структур используют именно локальные, on-premise системы, что значительно увеличивает риск утечки данных и кибератак.
Что представляет собой новая угроза и как она была обнаружена?
Обнаружение уязвимости впервые было сделано специалистами по кибербезопасности из компании Eye Security 18 июля. Исследователи выявили цепочку эксплойтов, ранее неизвестную, которая позволяет злоумышленникам полностью контролировать серверы SharePoint без необходимости использования учетных данных. Эта уязвимость позволяет похищать ключи машин, используемые для подписи аутентификационных токенов, что дает возможность злоумышленникам выдавать себя за легитимных пользователей или службы даже после проведения обновлений системы или перезагрузки.
Истоки уязвимости и её развитие
По информации Eye Security, уязвимость основывается на двух ранее демонстрированных на конференции Pwn2Own ошибках, которые изначально рассматривались как доказательство концепции. Однако злоумышленники уже воспользовались этой техникой в реальных атаках на организации по всему миру. Этот цепочный эксплойт получил название «ToolShell».
Как злоумышленники используют уязвимость
Попав на заражённый сервер SharePoint, хакеры получают доступ к связанным службам Microsoft, таким как Outlook, Teams и OneDrive. Это открывает доступ к ценным корпоративным данным и позволяет злоумышленникам сохранять долгосрочный контроль над системами. Они могут похищать криптографические материалы, которые подписывают аутентификационные токены, что дает возможность продолжать атаки даже после исправления уязвимости.
Масштабы атаки и наиболее пострадавшие организации
Первые сведения свидетельствовали о примерно 100 жертвах, однако сейчас эксперты считают, что злоумышленники взяли под контроль более 400 серверов SharePoint по всему миру. В числе наиболее заметных целей — Национальное управление ядерной безопасности (NNSA), которое подтвердило факт атаки, но не сообщило о полном взломе. Также под угрозой находятся Министерство образования, Департамент доходов штата Флорида и Генеральная ассамблея Род-Айленда.
Действия Microsoft и рекомендации для организаций
Компания Microsoft подтвердила наличие уязвимости и уведомила о «активных атаках» на версии SharePoint Server 2016, 2019 и Subscription Edition. Уже выпущены срочные патчи, которые необходимо установить всем организациям, использующим локальные версии программного обеспечения, как можно скорее.
Что должны делать организации с локальными серверами SharePoint
- Отключить уязвимые серверы: немедленно вывести из эксплуатации непод patched серверы, чтобы предотвратить дальнейшие атаки.
- Обновить системы: установить все доступные патчи для SharePoint Server 2016, 2019 и Subscription Edition без промедления.
- Ротация ключей: заменить все машинные ключи, используемые для подписи токенов, поскольку они могли быть украдены злоумышленниками.
- Проверить системы на признаки компрометации: искать необычную активность, такие как несанкционированные входы или перемещения внутри сети.
- Включить расширенное логирование: активировать подробное отслеживание событий для своевременного обнаружения подозрительной активности.
- Провести аудит подключённых сервисов: проверить доступ к Outlook, Teams и OneDrive на предмет подозрительных действий, связанных с уязвимостью.
- Подписаться на уведомления о угрозах: следить за советами от CISA и Microsoft по поводу новых патчей и угроз.
- Рассмотреть миграцию в облако: по возможности перейти на SharePoint Online, где встроены автоматические обновления и повышенная безопасность.
- Усилить безопасность паролей и включить двухфакторную аутентификацию: использовать сложные пароли и двухфакторную аутентификацию для всех аккаунтов, чтобы минимизировать риски.
Почему важно быстро реагировать
Эта уязвимость показывает, как быстро исследовательские разработки могут превращаться в реальные атаки. Изначально она рассматривалась как демонстрация концепции, а теперь сотни систем по всему миру подвергаются опасности, что особенно критично для государственных структур. Самое тревожное — возможность скрытного продолжения атаки даже после патча, что делает ситуацию особенно опасной.
Что должно делать правительство и компании для повышения безопасности?
Вопрос о необходимости ужесточения правил использования безопасного программного обеспечения в государственных структурах остается актуальным. Важно внедрять более строгие стандарты и регулярно проводить проверки безопасности.
Следите за новостями и обновлениями, чтобы своевременно защищать свои системы и данные.
Артем Мельник
Артем — эксперт по ИТ и новым технологиям, освещает стартапы, кибербезопасность и разработки украинских программистов. Ранее работал в сфере разработки ПО.