Хакеры совершили масштабную кибератаку, используя критическую уязвимость в широко используемом программном обеспечении Microsoft SharePoint Server.
По данным государственных чиновников, в результате взлома были скомпрометированы федеральные и региональные правительственные учреждения США, университеты, энергетические компании и даже телекоммуникационная инфраструктура в Азии.
Уязвимость заключается в локальных серверах SharePoint — системах, используемых внутри компании для хранения и обмена документами, — а не в облачных сервисах Microsoft, таких как Microsoft 365 , что делает их идеальными целями для злоумышленников.
Уязвимость называют «уязвимостью нулевого дня» — новой уязвимостью программного обеспечения, для которой Microsoft еще не выпустила исправление. У организаций не было ни дня на подготовку, и они открыли доступ к тысячам учреждений для атак.
По данным исследователей в области информационной безопасности, хакеры проникли в системы более чем 50 организаций, включая несколько европейских правительственных учреждений, энергетическую компанию в крупном штате США и университет в Бразилии.
В одном из штатов на востоке США злоумышленники захватили контроль над массивом документов, предназначенных для публичного доступа, и удерживали их в подвешенном состоянии, не позволяя ведомству вернуть их и удалить.
Microsoft не выпускает патч на фоне расширения масштабов утечки данных
Агентство по кибербезопасности и защите инфраструктуры США, а также органы кибербезопасности Канады и Австралии активно расследуют утечку данных. Компания Microsoft пока не выпустила патч для уязвимости сервера SharePoint, что вынуждает пострадавшие организации полагаться на временные решения — такие как корректировка конфигурации серверов или отключение систем — для снижения риска.
Microsoft подтвердила утечку данных и опубликовала предупреждение, но ничего не сообщила публично. Компания призвала пользователей включить режим блокировки и удалить уязвимые серверы из интернета, чтобы снизить риск утечки.
Центр интернет-безопасности, сотрудничающий с местными органами власти по всей территории США, сообщил, что разослал предупреждения примерно 100 организациям, которые могли пострадать, включая государственные школы и университеты. Реакция также была затруднена недавним сокращением финансирования, в результате которого численность персонала, занимающегося анализом угроз и реагированием на них, сократилась как минимум на 60%.
Рэнди Роуз, вице-dent Центра интернет-безопасности, заявил, что на обработку уведомлений в субботу вечером ушло шесть часов. Он добавил, что процесс был бы намного быстрее, если бы их команды не были сокращены.
CISA, которую в настоящее время возглавляет назначенный директор, временно исполняющий обязанности до утверждения, утверждает, что ее сотрудники работают неустанно. Марси Маккарти, пресс-секретарь агентства, заявила, что никто не бездействовал.
Сбои в системе безопасности вызывают усиление критики в адрес Microsoft
Последнийdent усиливает волну опасений по поводу способности Microsoft обеспечить безопасность своего программного обеспечения, учитывая, что компания остается основным поставщиком технологий для правительств во многих странах мира.
Министерство внутренней безопасности заявило, что злоумышленники, возможно, переключились на уязвимость SharePoint, которая была ранее исправлена. Это подчеркивает повторяющуюся стратегию Microsoft по выпуску узконаправленных исправлений, которые не устраняют связанные с этим уязвимости, которые еще не были использованы злоумышленниками.
Специалисты по информационной безопасности обеспокоены долгосрочными последствиями взлома. Проникнув на внутренние серверы SharePoint, злоумышленники получают доступ к конфиденциальным системам, которые вы используете на рабочем месте, таким как Outlook, Teams и другие. Как сообщается, некоторые хакеры украли криптографические ключи, которые можно использовать для повторного проникновения на серверы даже после установки обновлений.
Один из исследователей, участвовавших в реагировании на ситуацию, пожелавший остаться анонимным в связи с продолжающимся федеральным расследованием, предупредил, что выпуск патча в понедельник или вторник не поможет тем, чьи аккаунты уже были взломаны за последние 72 часа.
В прошлом году созданная правительством США комиссия раскритиковала Microsoft за действия в ответ на целенаправленную китайскую кибератаку на федеральные почтовые системы, включая сообщения, созданные тогдашним министром торговли Джиной Раймондо. В том случае компания заявила, что ее облачная платформа была использована для незаконного доступа к конфиденциальной переписке.
На прошлой неделе компания столкнулась с новой волной критики после того, как ProPublica сообщила, что Microsoft наняла инженеров в Китае для работы над облачными проектами, связанными с вооруженными силами США. В пятницу Microsoft объявила, что больше не будет нанимать инженеров для работы над системами, связанными с Пентагоном, в Китае.
