Μαζική επίθεση από άγνωστους χάκερ δέχτηκε ευρέως χρησιμοποιούμενο λογισμικό διακομιστή της Microsoft, με αναλυτές κυβερνοασφάλειας να προειδοποιούν για εκτεταμένες παραβιάσεις ασφαλείας σε όλο τον κόσμο.
Εκμεταλλευόμενοι ένα σημαντικό κενό ασφαλείας στο λογισμικό των SharePoint servers (οι οποίοι παρέχουν μια πλατφόρμα για την κοινή χρήση και διαχείριση εγγράφων), οι χάκερ κατάφεραν να εξαπολύσουν επίθεση σε κυβερνητικές υπηρεσίες και επιχειρήσεις τις τελευταίες ημέρες, παραβιάζοντας ομοσπονδιακές και πολιτειακές υπηρεσίες των ΗΠΑ, πανεπιστήμια, εταιρείες ενέργειας και μια ασιατική εταιρεία τηλεπικοινωνιών.
Tα βασικά προβλήματα που εντοπίστηκαν
Ενεργός Εκμετάλλευση Ευπαθειών (Zero-Day Exploits): Οι χάκερ εκμεταλλεύονται ενεργά δύο νέες ευπάθειες σε SharePoint servers, οι οποίες επιτρέπουν την εκτέλεση απομακρυσμένου κώδικα (RCE) χωρίς έλεγχο ταυτότητας.
Κίνδυνος Διαρκούς Πρόσβασης: Οι επιτιθέμενοι χρησιμοποιούν μια τεχνική που ονομάζεται «ToolShell» για να κλέψουν κρίσιμα κλειδιά διακομιστή και να δημιουργήσουν έγκυρα διακριτικά πρόσβασης, παρακάμπτοντας πλήρως τα μέτρα ασφαλείας. Αυτό σημαίνει ότι μπορούν να διατηρήσουν πρόσβαση ακόμα και μετά την εφαρμογή των ενημερώσεων, αν δεν γίνουν επιπλέον βήματα.
Έχουν ήδη παραβιαστεί δεκάδες servers σε διάφορους τομείς (πανεπιστήμια, εταιρείες ενέργειας, κυβερνητικοί φορείς σε ΗΠΑ, Ολλανδία, Ηνωμένο Βασίλειο, Καναδά, Ασία).
Κίνδυνος για On-Premises Servers: Η επίθεση αφορά αποκλειστικά τους on-premises SharePoint servers. Το SharePoint Online (Microsoft 365) δεν έχει επηρεαστεί.
Ρίσκο για Ransomware: Ειδικοί κυβερνοασφάλειας έχουν επισημάνει ότι η ευπάθεια είναι «όνειρο για τους operators ransomware», καθώς επιτρέπει πρόσβαση σε συστήματα αρχείων, κλοπή ευαίσθητων διαμορφώσεων και εκτέλεση κακόβουλου κώδικα.
Προειδοποιήσεις της Microsoft στους χρήστες
Οι βασικές προειδοποιήσεις της Microsoft και τι πρέπει να κάνουν οι χρήστες είναι οι εξής:
Εφαρμογή Επείγουσων Ενημερώσεων Ασφαλείας (Patches)
Η Microsoft έχει κυκλοφορήσει επείγουσες ενημερώσεις ασφαλείας (out-of-band patches) για τα SharePoint Server 2019 και SharePoint Subscription Edition.
Η ενημέρωση για το SharePoint 2016 αναμένεται σύντομα. Είναι ζωτικής σημασίας να εγκατασταθούν αυτές οι ενημερώσεις αμέσως.
Περιστροφή Κλειδιών ASP.NET Machine Keys: Αυτή είναι μια κρίσιμη ενέργεια μετά την εφαρμογή των patches. Οι επιτιθέμενοι μπορούν να κλέψουν αυτά τα κλειδιά, επιτρέποντάς τους να παρακάμψουν τους χρήστες ή τις υπηρεσίες ακόμη και μετά την ενημέρωση του server.
Εγκαταστήστε το Microsoft Defender Antivirus (ή αντίστοιχη λύση) σε όλους τους SharePoint servers. Το AMSI είναι ενεργοποιημένο από προεπιλογή σε ορισμένες πρόσφατες ενημερώσεις (π.χ., Σεπτέμβριος 2023 για SharePoint Server 2016/2019).
Αναπτύξτε το Microsoft Defender for Endpoint για ανίχνευση μετά την εκμετάλλευση και παρακολούθηση ύποπτης δραστηριότητας.
Αποσύνδεση από το Διαδίκτυο (εάν δεν είναι δυνατή η άμεση εφαρμογή Patch/AMSI):
Εάν δεν μπορείτε να εφαρμόσετε άμεσα τις ενημερώσεις ασφαλείας ή να ενεργοποιήσετε το AMSI, αποσυνδέστε τους SharePoint servers που είναι εκτεθειμένοι στο διαδίκτυο μέχρι να μπορέσουν να εφαρμοστούν οι διορθώσεις και τα μέτρα ασφαλείας.
Έλεγχος για ίχνη χακαρίσματος (Indicators of Compromise – IoCs): Αναζητήστε ύποπτα αρχεία στους servers σας.
Ελέγξτε για ασυνήθιστη δικτυακή δραστηριότητα από συγκεκριμένες IP διευθύνσεις που έχουν αναγνωριστεί ως πηγές επίθεσης.
Παρακολουθήστε για ειδοποιήσεις στο Microsoft Defender Security Center portal.
Ελέγξτε τα αρχεία καταγραφής (logs) των servers για ενδείξεις εκμετάλλευσης.
Περιορισμός Δικαιωμάτων: Ελαχιστοποιήστε τα δικαιώματα layout και διαχείρισης εντός του περιβάλλοντος SharePoint.
Απομόνωση/Τερματισμός Επηρεαζόμενων Servers: Εάν εντοπιστούν σημάδια συμβιβασμού, απομονώστε ή απενεργοποιήστε τους επηρεαζόμενους SharePoint servers.
Εμπλοκή Ειδικών Αντιμετώπισης Περιστατικών: Σε περίπτωση επιβεβαιωμένης παραβίασης, συνιστάται η συνεργασία με ειδικούς στην αντιμετώπιση περιστατικών κυβερνοασφάλειας για την διερεύνηση, τον περιορισμό και την ανάκαμψη.
Η κατάσταση εξελίσσεται ραγδαία, και η Microsoft συνεχίζει να παρέχει ενημερώσεις και οδηγίες μέσω των επίσημων καναλιών της (MSRC Blog). Συνιστάται στους διαχειριστές να παρακολουθούν στενά αυτές τις πηγές για τις πιο πρόσφατες πληροφορίες και επιπλέον μέτρα μετριασμού.
Νέα ενημέρωση διαθέσιμη από Μicrosoft
Η εταιρεία ανακοίνωσε ότι κυκλοφόρησε μια νέα ενημέρωση για την παρεχόμενη ασφάλεια για τους πελάτες της, την οποία μπορούν να «τρέξουν» στους διακομιστές SharePoint «για να αντιμετωπίσουν τις κυβερνοεπιθέσεις», προσθέτοντας ότι εργάζεται για περαιτέρω αναβαθμίσεις.
Η Αμερικανική Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών ανακοίνωσε επίσης ότι είναι ενήμερη για το κενό ασφαλείας.
Οι εταιρείες κυβερνοασφάλειας προειδοποίησαν ότι ένα ευρύ φάσμα οργανισμών σε όλο τον κόσμο θα μπορούσε να επηρεαστεί από την επίθεση, με τον ερευνητή στην Censys, Σάιλας Κάτλερ, να εκτιμά ότι πάνω από 10.000 εταιρείες με διακομιστές SharePoint διατρέχουν κίνδυνο.
Οι περισσότερες από τις επηρεαζόμενες εταιρείες βρίσκονται στις ΗΠΑ ενώ μεγάλος αριθμός βρίσκεται επίσης στην Ολλανδία, το Ηνωμένο Βασίλειο και τον Καναδά, σύμφωνα με τον ίδιο. «Είναι ένα όνειρο για τους χειριστές ransomware», δήλωσε χαρακτηριστικά.
Η Palo Alto Networks επιβεβαίωσε ότι διαπιστώνονται παραβιάσεις και προειδοποίησε ότι «αυτά τα exploits είναι πραγματικά, άμεσα διαθέσιμα και αποτελούν σοβαρή απειλή». Η Google Threat Intelligence Group ανέφερε σε ανακοίνωσή της μέσω ηλεκτρονικού ταχυδρομείου ότι εντόπισε χάκερ να εκμεταλλεύονται την ευπάθεια του συστήματος, προσθέτοντας ότι το κενό ασφαλείας επιτρέπει «μόνιμη, μη εξουσιοδοτημένη πρόσβαση και αποτελεί σημαντικό κίνδυνο για τους οργανισμούς που επηρεάζονται».
Η επίθεση εκμεταλλεύθηκε ένα κενό ασφαλείας που ήταν άγνωστο προηγουμένως.
Πάντως αυτή δεν είναι η μόνη επίθεση που έχει δεχθεί η εταιρεία. Αντίθετα, η Microsoft βρέθηκε πρόσφατα αντιμέτωπη με πλήθος κυβερνοεπιθέσεων.
Τον Μάρτιο προειδοποίησε ότι Κινέζοι χάκερ είχαν στο στόχαστρό τους εργαλεία απομακρυσμένης διαχείρισης και εφαρμογές cloud, με σκοπό να κατασκοπεύσουν πλήθος εταιρειών και οργανισμών στις ΗΠΑ και αλλού σε ολόκληρο τον κόσμο.
Επίσης, πέρυσι, η εταιρεία κατηγορήθηκε από ομάδα εμπειρογνωμόνων της κυβέρνησης των ΗΠΑ και του κλάδου για κενά που επέτρεψαν την παραβίαση email της κυβέρνησης των ΗΠΑ το 2023, συμπεριλαμβανομένων αυτών της τότε υπουργού Εμπορίου Τζίνα Ραϊμόντο.
Η τελευταία επίθεση θέτει σε κίνδυνο μόνο τους διακομιστές που στεγάζονται σε έναν οργανισμό — όχι εκείνους στο cloud, όπως το Microsoft 365.
