Patch-ul Microsoft pentru SharePoint dă greș, deschizând calea unui val de atacuri cibernetice globale

Un patch de securitate recent lansat de Microsoft pentru platforma SharePoint nu a reușit să remedieze complet o vulnerabilitate critică descoperită în luna mai, ceea ce a deschis calea pentru o operațiune globală de spionaj cibernetic. Microsoft a confirmat marți că soluția sa inițială nu a fost eficientă. Cu toate acestea, compania susține că a emis patch-uri suplimentare care rezolvă problema.

Câteva grupuri de hackeri, afiliate guvernului chinez și cunoscute sub numele de ”Linen Typhoon” și ”Violet Typhoon”, exploatează activ vulnerabilitatea, împreună cu un alt grup localizat în China. Aceste atacuri au vizat deja circa 100 de organizații în weekend, iar experții avertizează că situația se va agrava, pe măsură ce alți actori cibernetici vor valorifica breșa violenta.

Atât Microsoft, cât și Alphabet (Google) au indicat că atacurile inițiale au legături cu hackeri sprijiniți de Beijing. Cu toate acestea, China a negat orice implicare prin ambasada sa la Washington, declarând că "se opune tuturor formelor de atacuri cibernetice" și respinge "acuzațiile nefondate".

Vulnerabilitatea denumită ”ToolShell” a fost descoperită în mai, în cadrul unui concurs de hacking desfășurat la Berlin și organizat de compania cibernetică Trend Micro. Concursul oferea premii de până la 100.000 de dolari pentru identificarea de vulnerabilități zero-day în software popular, inclusiv în SharePoint. Un cercetător din cadrul diviziei de securitate a companiei vietnameze Viettel a descoperit eroarea, demonstrând public cum poate fi exploatată. Acesta a fost recompensat cu 100.000 de dolari.

Trend Micro a subliniat că furnizorii de software, în acest caz, Microsoft, au responsabilitatea de a soluționa problemele raportate eficient și prompt. Valul de atacuri a început la 10 zile după ce Microsoft a emis patch-ul inițial, pe 8 iulie, clasificând vulnerabilitatea ca fiind critică. Cu toate acestea, zece zile mai târziu, s-a observat o intensificare a activităților malițioase vizând serverele SharePoint.

Sophos, o firmă britanică, a anunțat că "actorii amenințători au dezvoltat exploit-uri care aparent ocolesc patch-urile inițiale".

Conform datelor oferite de motorul de căutare Shodan, peste 8.000 de servere SharePoint ar putea fi deja compromise. Acestea includ instituții precum guvernele, bănci, spitale, firme industriale și companii de audit. Fundația Shadowserver estimează că peste 9.000 de servere sunt afectate, majoritatea situându-se în SUA și Germania, incluzând companii multiple și entități guvernamentale.

Autoritatea germană pentru securitate cibernetică (BSI) a anunțat marți că a depistat servere vulnerabile în rețelele guvernamentale, fără ca acestea să fie compromise complet. Situația rămâne în dinamică, iar Microsoft alături de agențiile guvernamentale de securitate din mai multe țări continuă să monitorizeze și să actualizeze sistemele pentru a combate amenințările.