Критическая уязвимость в SharePoint: угроза для государственных и корпоративных систем
В последние недели эксперты по кибербезопасности выявили новую нулевую уязвимость в программном обеспечении Microsoft SharePoint Server. Эта уязвимость уже активно используют злоумышленники, что создает серьезную угрозу для безопасности государственных учреждений, крупных корпораций и учебных заведений. Особенно опасно то, что большинство уязвимых систем — это локальные (on-premise) версии SharePoint, используемые в США и по всему миру.
Что такое уязвимость и как она работает?
Обнаруженная уязвимость позволяет злоумышленникам получить полный контроль над уязвимыми серверами SharePoint без необходимости ввести учетные данные пользователя. В результате злоумышленник может украсть ключи шифрования, используемые для подписи токенов аутентификации, что дает возможность маскироваться под легитимных пользователей или сервисы даже после применения исправлений или перезагрузки системы.
Эксперты считают, что эта уязвимость возникла из-за цепочки уязвимостей, продемонстрированных на международной конференции Pwn2Own. Изначально эти уязвимости служили демонстрационными доказательствами, однако сейчас злоумышленники нашли способ использовать их в реальных атаках, превратив цепочку в оружие, получившее название «ToolShell».
Какие системы под угрозой и кто уже пострадал?
По данным кибербезопасных компаний, с момента обнаружения уязвимости было зафиксировано более 400 атак на сервера SharePoint по всему миру. Среди наиболее заметных целей — Национальное управление ядерной безопасности США, министерство образования, департамент доходов Флориды и законодательные органы штата Род-Айленд. Впрочем, точное число пострадавших организаций может быть значительно выше, так как не все случаи обнаруживаются сразу.
Microsoft подтвердил факт активных атак, эксплуатирующих эту уязвимость, и выпустил срочные обновления для версий SharePoint Server 2016, 2019 и SharePoint Subscription Edition. Все версии, находящиеся в поддержке, уже получили необходимые патчи.
Что делать организациям и пользователям?
Для предприятий и учреждений, использующих локальные версии SharePoint, крайне важно принять срочные меры по защите своих систем. Даже после установки обновлений у злоумышленников сохраняется возможность продолжать доступ, если ключи шифрования были украдены ранее. Поэтому рекомендуется:
- Отключить уязвимые серверы: немедленно отключите незащищенные системы, чтобы избежать дальнейших атак.
- Обновить системы: установите последние патчи от Microsoft без промедления.
- Поменять криптографические ключи: замените все ключи, используемые для подписи токенов, чтобы прервать возможный доступ злоумышленников.
- Провести аудит безопасности: проверьте системы на признаки несанкционированного доступа, такие как необычная активность или использование токенов.
- Включить расширенное логирование: настройте системы для отслеживания подозрительной активности в будущем.
- Обследовать связанные сервисы: проверьте работу Outlook, Teams и OneDrive на предмет необычного поведения, связанного с уязвимостью SharePoint.
- Подписаться на уведомления о угрозах: следите за обновлениями от CISA и Microsoft.
- Рассмотреть миграцию в облако: переходите на SharePoint Online, где автоматические обновления и встроенная защита значительно повышают безопасность.
- Усилить пароли и включить двухфакторную аутентификацию: рекомендуем создать сложные пароли и включить 2FA для всех учетных записей.
Почему важно быстро реагировать?
Эта уязвимость показывает, насколько быстро исследование и тестирование могут превращаться в реальные атаки. Изначально уязвимость была подтверждена как демонстрационная, а сейчас сотни систем подвергаются опасности, в том числе высокопоставленные государственные учреждения. Самое тревожное — злоумышленники могут сохранять доступ даже после исправлений, что делает ситуацию особенно критичной.
Общие рекомендации для защиты
Помимо технических мер, стоит укрепить внутренние политики безопасности. Используйте сложные пароли, включайте двухфакторную аутентификацию, регулярно обновляйте программное обеспечение и проводите обучение сотрудников по вопросам кибербезопасности. В случае использования локальных версий SharePoint — будьте особенно внимательны и оперативно реагируйте на любые подозрительные события.
Дарья Тимошенко
Автор. Технологический обозреватель. Пишет о цифровых трендах, инновациях и гаджетах. Разбирает сложное просто, следит за будущим уже сегодня. Все посты