“Όποιος έχει έναν hosted SharePoint server έχει πρόβλημα”, δήλωσε στην Washington Post ο ανώτερος αντιπρόεδρος της εταιρείας κυβερνοασφάλειας CrowdStrike. “Είναι μια σημαντική ευπάθεια”.
Η ευπάθεια έχει οδηγήσει σε μια νέα “παγκόσμια επίθεση σε κυβερνητικές υπηρεσίες και επιχειρήσεις” τις τελευταίες μέρες, σύμφωνα με το άρθρο, “παραβιάζοντας ομοσπονδιακές και πολιτειακές υπηρεσίες των ΗΠΑ, πανεπιστήμια, εταιρείες ενέργειας και μια ασιατική εταιρεία τηλεπικοινωνιών, σύμφωνα με κρατικούς αξιωματούχους και ιδιώτες ερευνητές…”
“Δεκάδες χιλιάδες τέτοιοι διακομιστές διατρέχουν κίνδυνο, αναφέρουν οι ειδικοί, και η Microsoft δεν έχει εκδώσει καμία ενημέρωση για το ελάττωμα, αφήνοντας τους πελάτες της σε όλο τον κόσμο να αγωνίζονται να ανταποκριθούν”.
Η Microsoft αναφέρει ότι “ετοιμάζει” ενημερώσεις ασφαλείας “για υποστηριζόμενες εκδόσεις του SharePoint 2019 και του SharePoint 2016”, προσφέροντας διάφορες προτάσεις μετριασμού, ενώ η CISA έχει δημοσιεύσει τις δικές της συστάσεις.
Από το άρθρο της Washington Post την Κυριακή:
Η Microsoft προτείνει στους χρήστες να κάνουν τροποποιήσεις στα SharePoint server programs ή απλώς να τα αποσυνδέσουν από το διαδίκτυο για να σταματήσουν την παραβίαση. Η Microsoft εξέδωσε μια προειδοποίηση προς τους πελάτες της, αλλά αρνήθηκε να σχολιάσει περαιτέρω…
“Βλέπουμε προσπάθειες εκμετάλλευσης χιλιάδων διακομιστών SharePoint παγκοσμίως πριν από την κυκλοφορία μιας ενημέρωσης κώδικα”, δήλωσε ο Pete Renals, ανώτερος διευθυντής της Unit 42 της Palo Alto Networks. “Έχουμε εντοπίσει δεκάδες παραβιασμένους οργανισμούς που εκτείνονται τόσο στον εμπορικό όσο και στον κυβερνητικό τομέα”.
Με πρόσβαση σε αυτούς τους διακομιστές, οι οποίοι συχνά συνδέονται με το Outlook, το Teams και άλλες βασικές υπηρεσίες, μια παραβίαση μπορεί να οδηγήσει σε κλοπή ευαίσθητων δεδομένων καθώς και σε συλλογή κωδικών πρόσβασης, ανέφερε η ολλανδική ερευνητική εταιρεία Eye Security.
Αυτό που είναι επίσης ανησυχητικό, ανέφεραν οι ερευνητές, είναι ότι οι hackers έχουν αποκτήσει πρόσβαση σε κλειδιά που μπορεί να τους επιτρέψουν να ανακτήσουν την πρόσβαση ακόμη και μετά την ενημέρωση κώδικα ενός συστήματος. “Επομένως, η κυκλοφορία μιας ενημέρωσης τη Δευτέρα ή την Τρίτη δεν βοηθά κανέναν που έχει παραβιαστεί τις τελευταίες 72 ώρες”, ανέφερε ένας ερευνητής, ο οποίος μίλησε υπό τον όρο της ανωνυμίας επειδή βρίσκεται σε εξέλιξη ομοσπονδιακή έρευνα.
Οι παραβιάσεις σημειώθηκαν αφού η Microsoft διόρθωσε ένα ελάττωμα ασφαλείας αυτόν τον μήνα.
Οι επιτιθέμενοι συνειδητοποίησαν ότι μπορούσαν να χρησιμοποιήσουν μια παρόμοια ευπάθεια, σύμφωνα με την Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών του Υπουργείου Εσωτερικής Ασφάλειας (Cybersecurity and Infrastructure Security Agency).
Η εκπρόσωπος της CISA, Marci McCarthy, δήλωσε ότι η υπηρεσία… ειδοποιήθηκε για το πρόβλημα την Παρασκευή από μια εταιρεία έρευνας στον κυβερνοχώρο και επικοινώνησε αμέσως με τη Microsoft…
Το μη κερδοσκοπικό Κέντρο για την Ασφάλεια στο Διαδίκτυο, το οποίο στελεχώνει μια ομάδα ανταλλαγής πληροφοριών για τις πολιτειακές και τοπικές κυβερνήσεις, ειδοποίησε περίπου 100 οργανισμούς ότι ήταν ευάλωτοι και μπορεί να είχαν παραβιαστεί, δήλωσε ο Randy Rose, αντιπρόεδρος του οργανισμού. Σε αυτούς που προειδοποιήθηκαν περιλαμβάνονται δημόσια σχολεία και πανεπιστήμια. Άλλοι που παραβιάστηκαν περιλαμβάνουν μια κυβερνητική υπηρεσία στην Ισπανία, μια τοπική υπηρεσία στο Αλμπουκέρκη και ένα πανεπιστήμιο στη Βραζιλία, ανέφεραν ερευνητές ασφαλείας.
Αν και τα δελτία τύπου θα είναι από πολύ επιλεγμένα έως και σπάνια, είπα να περάσω … γιατί καμιά φορά κρύβονται οι συντάκτες.
