Наскоро Microsoft издаде предупреждение, че хакери активно използват уязвимост от „нулев ден” в софтуерния продукт SharePoint, за да компрометират локални сървъри на различни организации и компании. Сега излязоха нови подробности за кибератаките.
Мащабът на инцидента все още се оценява, но вече е известно, че нападателите са успели да компрометират системите на около 100 организации, съобщи Ройтерс, позовавайки се на данни от два източника, които са помогнали за разкриване на злонамерената кампания.
„Кой знае какво са направили”
Дейността на хакерите е открита от холандската компания за информационна сигурност Eye Security, която е забелязала подозрителна активност, насочена срещу един от нейните клиенти.
След това, преди проблемът да стане широко известен, специалистите са сканирали интернет с помощта на инструмента на Shadowserver Foundation и са идентифицирали около 100 жертви на злонамерената кампания.
„Кой знае какво са направили други нападатели оттогава, за да въведат нови задни врати [backdoor]”, казва Вайша Бернард, изследовател в Eye Security. Той не разкрива организациите, които са били хакнати, но уточнява, че съответните органи са своевременно уведомени за инцидента.
Фондация Shadowserver потвърди, че броят на жертвите е поне 100, добавяйки, че много от тях са в САЩ и Германия. Засегнати от атаките са и правителствени организации.
Друг изследовател заяви, че кампанията със зловреден софтуер вероятно е дело на един-единствен хакер или група хакери. „Това може да се промени бързо”, казва Рейф Пилинг, ръководител на отдела за разузнаване на заплахите в британската фирма за сигурност Sophos.
Междувременно Microsoft вече пусна корекция за отстраняване на уязвимостта в своя софтуер SharePoint и посъветва клиентите да не отлагат инсталирането ѝ.
Неизвестен извършител
Все още не е известно кой стои зад кампанията със зловреден софтуер. ФБР заяви, че е наясно с проблема и работи в тясно сътрудничество с федералните си партньори по разследването, без да дава подробности.
Националният център за киберсигурност на Великобритания съобщи, че е идентифицирал „ограничен брой” цели в страната.
По данни на Shodan – система, която идентифицира оборудване, свързано с интернет – теоретично над 8000 сървъра в мрежата биха могли да бъдат хакнати. Тези сървъри обслужват системи на големи промишлени предприятия, банки, одиторски фирми, медицински и правителствени агенции в САЩ и няколко други страни.
Какви са рисковете
Уязвимостта от типа „нулев ден” в софтуера на SharePoint излага на риск десетки хиляди сървъри по целия свят. Възползвайки се тази уязвимост, нападателите могат да получат достъп до локални SharePoint сървъри, за да откраднат криптографски ключове, което им дава неоторизиран достъп до инфраструктурата на жертвите.
Наличието на криптографски ключове позволява на нападателите да се представят за легитимни потребители дори след рестартиране на компрометиран сървър или инсталиране на корекция. Това означава, че вече компрометираните сървъри могат да представляват риск за бизнеса дори след инсталиране на корекция.
Според специалистите, проблемът не засяга облачната версия на услугата SharePoint Online, която е достъпна на платформата Microsoft 365.
Хакерите могат да използват уязвимостта на SharePoint, за да откраднат чувствителни данни, включително потребителски идентификационни данни. Те могат също така да се движат в компрометираната мрежа, използвайки услуги, които често се свързват с SharePoint, като Outlook, Teams и OneDrive.
Смята се, че експлойтът се основава на две уязвимости, демонстрирани на хакерското състезание Pwn2Own през май. Към днешна дата Microsoft е пуснала корекция за сървърите SharePoint 2019 и SharePoint Subscription Edition и продължава да работи върху корекция за SharePoint 2016.
Мащабът на проблема
Агенцията за сигурност на инфраструктурата на САЩ (CISA) продължава да оценява обхвата на проблема. Според нея, всички компрометирани сървъри трябва да бъдат изключени от интернет, докато мащабът на пораженията не бъде изяснен.
Според източници на Вашингтон поуст, уязвимостта на SharePoint се използва активно от хакери за атаки срещу федерални агенции и общински институции в Съединените щати и други страни, както и срещу енергийни и телекомуникационни компании, университети и организации по целия свят.
