Нова уразливість нульового дня в Microsoft SharePoint під час масованих атак
Федеральний уряд США та дослідники з кібербезпеки повідомляють про нещодавно виявлену вразливість безпеки в SharePoint, яка піддається атакам.
На вихідних агентство з кібербезпеки США CISA попередило, що зловмисники активно експлуатують цю вразливість. Microsoft ще не надала оновлення для всіх версій SharePoint, які зазнали впливу, що залишає клієнтів по всьому світу без можливості захистити свої системи від поточних вторгнень.
У Microsoft повідомили, що проблема, відома під назвою CVE-2025-53770, впливає на версії SharePoint, які компанії встановлюють і керують на власних серверах. SharePoint дозволяє компаніям зберігати, ділитися та керувати своїми внутрішніми файлами.
Компанія зазначила, що працює над виправленнями безпеки, щоб запобігти експлуатації вразливості зловмисниками. Ця недолік вважається “нулевим днем”, оскільки постачальнику не було надано часу на виправлення до того, як його попередили про проблему; вона впливає на версії програмного забезпечення, починаючи з SharePoint Server 2016.
Поки що невідомо, скільки серверів вже були зламані, але, ймовірно, тисячі малих та середніх підприємств, які покладаються на це програмне забезпечення, постраждали. За даними одного з видань, кілька федеральних агенцій США, університетів та енергетичних компаній вже стали жертвами атак.
Компанія Eye Security, яка вперше повідомила про вразливість, вказала, що знайшла “десятки” активних SharePoint серверів, які піддавалися атакам на момент публікації. Вразливість дозволяє зловмисникам викрадати приватні цифрові ключі з серверів SharePoint без необхідності входу в систему. Потрапивши всередину, зловмисники можуть віддалено встановлювати шкідливе програмне забезпечення та отримувати доступ до файлів та даних, що зберігаються на серверах. Eye Security попередила, що SharePoint підключається до інших додатків, таких як Outlook, Teams та OneDrive, що може призвести до подальших загроз у мережі та крадіжок даних.
Eye Security зазначила, що оскільки вразливість стосується крадіжки цифрових ключів, які можуть використовуватися для імітації законних запитів на сервері, клієнти повинні як виправити помилку, так і вжити додаткових заходів для зміни своїх цифрових ключів, щоб запобігти повторному проникненню зловмисників.
CISA та інші організації закликали клієнтів “вжити термінових заходів”. У відсутності патчів або заходів безпеки, клієнтам слід розглянути можливість відключення потенційно вразливих систем від інтернету.
“Якщо у вас є SharePoint [на власному сервері], що підключений до інтернету, ви повинні вважати, що вашу систему було скомпрометовано на даний момент,” — написав у електронному листі до одного з видань Майкл Сікорський, керівник підрозділу розвідки загроз Palo Alto Networks під назвою Unit 42.
Ще не відомо, хто саме здійснює атаки на сервери SharePoint, але це – вже не перша пропозиція загроз для клієнтів Microsoft за останні роки.
У 2021 році група хакерів, пов’язана з Китаєм, під назвою Hafnium, була спіймана на експлуатації вразливості в самостійно керованих серверах електронної пошти Microsoft Exchange, що призвело до масових зломів та викрадення даних електронної пошти та контактів з бізнесу по всьому світу. За даними нещодавнього обвинувачення Міністерства юстиції, зловмисники скомпрометували понад 60 000 серверів.
Через два роки Microsoft підтвердила кібератаку на своїх хмарних системах, які вона управляє безпосередньо, що дозволило китайським хакерам вкрасти чутливий ключ підпису електронної пошти, який надав доступ до облікових записів електронної пошти, як споживчих, так і підприємницьких, які зберігаються компанією.
Microsoft також повідомила про повторні вторгнення з боку хакерів, пов’язаних з урядом Росії.
