Χάκερ επιτίθενται σε ευπάθειες διακομιστή Microsoft SharePoint, ο οποίος υπάρχει σε πολλές εταιρείες, ανακοίνωσε η Υπηρεσία Κυβερνοασφάλειας και Άμυνας Υποδομών των ΗΠΑ (CISA) σε έκθεση της 20ής Ιουλίου.
Οι διακομιστές SharePoint χρησιμοποιούνται από οργανισμούς για τη δημιουργία μιας ιδιωτικής υπηρεσίας intranet (εσωτερικού δικτύου) που δημιουργεί ιστότοπους, διαχειρίζεται την κοινή χρήση εγγράφων και υποστηρίζει άλλες συνεργατικές προσπάθειες εντός της εταιρείας.
«Αυτή η δραστηριότητα εκμετάλλευσης, που αναφέρεται δημόσια ως ToolShell, παρέχει μη εξουσιοδοτημένη πρόσβαση σε συστήματα και επιτρέπει σε κακόβουλους παράγοντες να έχουν πλήρη πρόσβαση στο περιεχόμενο του SharePoint, συμπεριλαμβανομένων των συστημάτων αρχείων και των εσωτερικών διαμορφώσεων, και να εκτελούν κώδικα μέσω του δικτύου», δήλωσε η CISA, προσθέτοντας ότι το εύρος και ο αντίκτυπος της νέας επίθεσης απομακρυσμένης εκτέλεσης κώδικα (RCE) αξιολογούνται.
Η Microsoft αναγνώρισε το πρόβλημα μια ημέρα νωρίτερα. Σε μια έκθεση καθοδήγησης της 19ης Ιουλίου, η εταιρεία ανέφερε ότι η απόπειρα εκμετάλλευσης εφαρμόστηκε μόνο σε διακομιστές SharePoint. Το SharePoint Online που βασίζεται στο cloud και είναι μέρος του Microsoft 365 είναι ένα διαφορετικό σύστημα και δεν επηρεάζεται.
Ολόκληρη η σουίτα SharePoint χρησιμοποιείται από περισσότερους από 200.000 οργανισμούς και 190 εκατομμύρια ανθρώπους παγκοσμίως, σύμφωνα με την εταιρεία.
Η ενημέρωση ασφαλείας του Ιουλίου αντιμετωπίζει μόνο εν μέρει τα υπάρχοντα τρωτά σημεία, δήλωσε η Microsoft. Έχουν κυκλοφορήσει νέες ενημερώσεις ασφαλείας που προστατεύουν πλήρως τους πελάτες που χρησιμοποιούν το SharePoint Subscription Edition και το SharePoint 2019.
Συνιστάται στους πελάτες να εφαρμόσουν αμέσως τις ενημερώσεις συστήματος για να διασφαλίσουν την προστασία τους. Οι ενημερώσεις ασφαλείας για τους χρήστες του SharePoint 2016 δεν έχουν ακόμη κυκλοφορήσει.
Η Microsoft δημοσίευσε μια λίστα με τρόπους με τους οποίους οι πελάτες μπορούν να μετριάσουν τις επιθέσεις. Περιλαμβάνουν την εγκατάσταση των πιο πρόσφατων ενημερώσεων ασφαλείας, τη χρήση υποστηριζόμενων εκδόσεων του SharePoint Server εσωτερικής εγκατάστασης, τη διασφάλιση ότι η Διασύνδεση Σάρωσης Antimalware είναι ενεργοποιημένη και ρυθμισμένη σωστά σε συνδυασμό με μια λύση προστασίας από ιούς, την ανάπτυξη υπηρεσιών όπως το Microsoft Defender για προστασία Endpoint και την εναλλαγή κλειδιών μηχανήματος ASP.NET του SharePoint Server.
Περισσότερες τεχνικές λεπτομέρειες για προηγμένες τεχνικές αναζήτησης και άλλες προσπάθειες μετριασμού βρίσκονται στον ιστότοπο της Microsoft.
Συστάσεις της CISA
Για τη μείωση των κινδύνων που σχετίζονται με την απόπειρα εκμετάλλευσης RCE, η CISA έχει αρκετές συστάσεις για τους οργανισμούς. Επανέλαβε τις οδηγίες της Microsoft σχετικά με την ενεργοποίηση της Διασύνδεσης Σάρωσης Antimalware (AMSI) και του MS Defender σε όλους τους διακομιστές.
Εάν το AMSI δεν μπορεί να αναπτυχθεί αμέσως, ο οργανισμός πρότεινε στις εταιρείες να αποσυνδέσουν όλα τα επηρεαζόμενα προϊόντα από το διαδίκτυο και να επανασυνδεθούν μόνο αφού μετριαστεί η απειλή.
Η CISA ζήτησε από τις εταιρείες να ακολουθήσουν το πρωτόκολλο καθοδήγησης BOD 22-01 για τη μείωση του κινδύνου.
Για την ανίχνευση και τα προηγμένα μέτρα κυνηγιού απειλών, οι οργανισμοί καλούνται να ακολουθήσουν τη συμβουλευτική της Microsoft για το θέμα ευπάθειας Server Spoofing ή CVE-2025-49706, το οποίο κυκλοφόρησε στις 8 Ιουλίου και προστέθηκε στον κατάλογο εκμετάλλευσης της CISA στις 20 Ιουλίου.
Οι εταιρείες θα πρέπει να ενημερώσουν τα συστήματα πρόληψης εισβολών και τους κανόνες τείχους προστασίας των διαδικτυακών εφαρμογών για να αποκλείουν τα πρότυπα εκμετάλλευσης και την ανώμαλη συμπεριφορά, και να εφαρμόσουν ολοκληρωμένη καταγραφή για τον εντοπισμό δραστηριότητας εκμετάλλευσης.
Τέλος, η CISA συμβούλευσε τον έλεγχο και την ελαχιστοποίηση των δικαιωμάτων διάταξης και διαχειριστή.
Εάν ένας κακόβουλος παράγοντας έχει αποκτήσει πρόσβαση ή η εταιρεία εντοπίσει ανώμαλη δραστηριότητα στους διακομιστές της, τέτοια περιστατικά θα πρέπει να αναφέρονται στο Κέντρο Επιχειρήσεων 24/7 της CISA στη διεύθυνση Report@cisa.gov ή στο (888) 282-0870.
Πρόσφατα, με την αυξημένη εξάπλωση των πλατφορμών cloud και των σχετικών τεχνολογιών, υπήρξε μια αντίστοιχη αύξηση στην εξελιγμένη απειλητική δραστηριότητα που στοχεύει συστήματα ταυτότητας και ελέγχου ταυτότητας που βασίζονται σε υποδομή cloud.
«Καθώς η υποδομή cloud έχει γίνει πανταχού παρούσα – υποστηρίζοντας βασικά δεδομένα κυβερνητικών και κρίσιμων υποδομών – οι εξελιγμένοι φορείς που συνδέονται με έθνη-κράτη έχουν εκθέσει αδυναμίες στον έλεγχο ταυτότητας διακριτικών, τη διαχείριση κλειδιών, τους μηχανισμούς καταγραφής, τις εξαρτήσεις τρίτων και τις πρακτικές διακυβέρνησης», δήλωσε η CISA στις 15 Ιουλίου.
Για την αντιμετώπιση αυτών των απειλών, η CISA ζήτησε την αύξηση των συνεργασιών ιδιωτικού-δημόσιου τομέα για την προστασία της υποδομής cloud.
