Jos he voivat iskeä ydinvoimavirastoon, he voivat murtautua sinuun: Mitä SharePoint-hyökkäys tarkoittaa yrityksellesi

SharePoint-hyökkäystä käytettiin korkean profiilin uhreja vastaan, mukaan lukien Yhdysvaltain kansallinen ydinturvallisuusvirasto (National Nuclear Security Administration), kotimaan turvallisuusministeriö (Department of Homeland Security), energiaministeriö (Department of Energy) ja terveys- ja sosiaaliministeriö (Department of Health and Human Services), mutta monet muutkin joutuivat jälkimainingeissa kohteeksi. Tässä on mitä se tarkoittaa sinulle.

Microsoft julkaisi 20. heinäkuuta hätäkorjaus sekä varoituksen sen jälkeen, kun hyökkääjien havaittiin aktiivisesti hyödyntävän kriittistä haavoittuvuutta paikallisissa SharePoint-palvelimissa todennuksen ohittamiseksi. Onnistuessaan hyökkääjät voivat käyttää yksityistä SharePoint-sisältöä, mukaan lukien sisäiset määritykset ja tiedostojärjestelmät.

Pian kävi ilmi, että vikaa seurattiin nimellä CVE-2025-53770 ja variantti CVE-2025-53771, jotka tunnetaan yhdessä nimellä ToolShell, käytettiin levittää kiristysohjelmia.

Päiviä myöhemmin kävi selväksi, että SharePoint-korjaus tuli sen jälkeen, kun epäonnistunut tietoturvakorjaus aiemmin kuussa. Microsoft myönsi, että sen alkuperäinen ratkaisu haavoittuvuuteen – joka tunnistettiin hakkerikilpailussa toukokuussa – ei toiminut, mikä pakotti sen julkaisemaan lisää korjauksia ongelman ratkaisemiseksi.

Siihen mennessä Kiinan ja kansallisvaltioiden vastustajat, mukaan lukien Pellavainen taifuuni ja violetti taifuuni – samoin kuin jengi Myrsky-2603 – oli vaatinut uhreja, mukaan lukien Yhdysvaltain kansallinen ydinturvallisuusvirasto (National Nuclear Security Administration), kotimaan turvallisuusministeriö, energiaministeriö sekä terveys- ja sosiaaliministeriö.

Microsoft myönsi myös, että muut ryhmät käyttivät haavoittuvuutta laajemmin. ransomware osana hyökkäyksiä. Microsoft SharePoint ToolShell -hyökkäysten uskotaan näyttäneen vastustajille vaarantavan 396 SharePoint-järjestelmää yli 145 organisaatiossa 41 maassa.

Tällaisten korkean profiilin kohteiden vuoksi SharePoint-hyökkäykset saattavat tuntua kaukaisilta jokapäiväisestä liiketoiminnasta. Tapauksen pitäisi kuitenkin olla herätys kaikille organisaatioille, jotka ovat riippuvaisia ​​Microsoftin palveluista, pilvialustoista tai paikallisista yhteistyötyökaluista. Jos hyökkääjät pystyvät jatkamaan toimintaansa kovetetuissa valtion ympäristöissä, he voivat helposti hyödyntää haavoittuvia liiketoimintajärjestelmiä samoilla taktiikoilla.

Mitä SharePointin hyökkäys sitten tarkoittaa yrityksille, ja miten voit parantaa tietoturvaasi välttääksesi tällaisten hyökkäysten ristitulen?

Turvallisuus hämärän avulla

SharePoint ToolShell -hyökkäykset mursivat vaarallisen myytin "tietoturvasta hämärän peitossa": Kiteworksin Euroopan toimintojen varatoimitusjohtaja ja toimitusjohtaja Dario Perfettibile kertoo, että pienempiin organisaatioihin ei kohdistu hyökkäyksiä, koska ne eivät ole tarpeeksi tärkeitä. ISMS.online.

Hänen mukaansa tietomurron ”massiivinen laajuus” paljastaa, kuinka nykyaikaiset kyberhyökkäykset ”käyttävät automatisoitua haavoittuvuuksien hyödyntämistä kohdistaakseen ne laajamittaisesti” sen sijaan, että ne keskittyisivät vain tiettyihin organisaatioihin. ”Yli 9,300 XNUMX SharePoint-palvelimen ollessa alttiina verkossa hyökkääjät käyttivät automaattista skannausta tunnistaakseen tuhansia haavoittuvia järjestelmiä ja hyödynsivät kaikkea löytämäänsä.”

Kampanjan kehitys valtion tukemasta vakoilusta opportunistisiin kiristyshaittaohjelmahyökkäyksiin ”havainnollistaa tätä täydellisesti”, Perfettibile sanoo. ”Storm-2603 näki paljastuneet palvelimet ansaintamahdollisuuksina.”

SharePointin hyökkäykset korostivat myös sitä, kuinka pelkkä korjaaminen ei aina ratkaise ongelmaa, jos hyökkääjät piileskelevät järjestelmissä jo ensimmäisen pääsyn jälkeen. SharePointin tapauksessa hyökkääjät käyttivät piilotekniikoita, jotka säilyivät myös korjausten jälkeen, hyödyntäen heikkoja sisäisiä kontrolleja.

Itse hyökkäys on jo itsessään huolestuttava, mutta toinen asia, jota on pohdittava, on se, miten hyökkääjät toimivat päästyään sisään, sanoo Pierre Noel, tietoturvajohtaja EMEA-alueella Expelillä. "He ovat hyödykkeistäneet tekniikoita, kuten 'elää maasta, käyttäen samoja hallintatyökaluja, joihin IT-tiimisi luottaa. Se, mikä ennen oli varattu kehittyneille hyökkääjille, on nyt sisäänrakennettuna jokaisen kiristyshaittaohjelmien käsikirjaan.”

Tämän mielessä pitäen samat vakoiluun kansallisella tasolla käytetyt taktiikat voidaan "yhtä helposti kääntää keskikokoista vähittäismyyjää tai terveydenhuollon tarjoajaa vastaan", hän varoittaa.

Huono näkyvyys

Riskiä lisää se, että monilla organisaatioilla on huono näkyvyys yhteistyötyökaluihinsa, mikä jättää katvealueita riskinarviointeihin. Vaikka yhteistyötyökalut ovat kriittisiä tuottavuuden kannalta, niitä "harvoin valvotaan samalla tavalla kuin päätepisteitä tai palomuureja", Noel sanoo. "Lokit ovat epätäydellisiä, tietoturvaintegraatiot jäävät taka-alalle, ja useimmat riskinarvioinnit ohittavat ne kokonaan, jolloin alustat, joilla työntekijät todellisuudessa työskentelevät, jäävät valvomatta ja alttiiksi riskeille."

Microsoft E3 -lisenssit voi rajoittaa suojauslokien toimintaa kuormituksen alaisena ja viivästyttää toimitusta jopa 72 tuntia, kun taas useimmat alustat säilyttävät tarkastuslokeja vain 90 päivästä vuoteen, Perfettibile sanoo. ”Tämä on aivan liian lyhyt aika, sillä rikostekniset tutkimukset paljastivat SharePoint-tietomurtojen tapahtuneen kuukausia ennen niiden havaitsemista.”

Perfettibile varoittaa, että tämä ”pirstaloitunut valvonta” luo myös ”täydelliset olosuhteet huomaamattomalle tiedon vuotamiselle”. ”Hyökkääjät voivat jakaa toimintansa useille alustoille pysyäkseen kunkin järjestelmän yksilöllisten havaitsemiskynnysten alapuolella, kun taas tietoturvatiimeiltä puuttuu mallien havaitsemiseen tarvittava alustojen välinen käyttäytymisanalyysi.”

Turvatoimenpiteet

SharePoint-hyökkäykset muistuttavat siitä, että kaikki yritykset ovat alttiita tietomurroille, vaikka hyökkääjät iskisivätkin ensin korkean profiilin kohteisiin. Tämän huomioon ottaen on olemassa joitakin tärkeitä toimenpiteitä, joita voit nyt tehdä suojautuaksesi.

Saeed Abbasi, Qualys Threat Research Unitin tuotehallinnan vanhempi johtaja, neuvoo yrityksiä tekemään "hätätilanteiden tarkastuksia" kartoittaakseen koko SharePoint-hyökkäyspinta-alansa sekä paikallisesti että verkossa. "Tunnista jokainen internetissä alttiina oleva resurssi, sen versio ja omistaja, ja sitten luokittele korjaavat toimenpiteet altistumisen ja hyödynnettävyyden perusteella, ja tarjoa kriittisiä korjauksia aggressiivisten palvelutasosopimusten puitteissa."

Abbasi suosittelee "edistyneiden korjaustekniikoiden" käyttöä kaikille resursseille, joiden välitön korjaaminen ei ole mahdollista – kuten isännän eristäminen tai väliaikaisten lieventävien toimenpiteiden toteuttaminen – kunnes pysyvä korjaus voidaan ottaa käyttöön.

Samanaikaisesti on hyvä idea vahvistaa kaikkia asetuksia. ”Pakota monivaiheinen todennus ja ehdollinen pääsy, peruuta julkinen pääsy ja auditoi kolmannen osapuolen laajennuksia”, Abbasi sanoo.

Laajemmin ottaen organisaatioiden on suojautuakseen SharePoint-tyyppisiltä hyökkäyksiltä otettava käyttöön nollaluottamusarkkitehtuuri, joka tarkistaa jokaisen pyynnön, jopa "luotettavista" sisäisistä järjestelmistä tulevat pyynnöt, Perfettibile neuvoo. "Tämä on tärkeää, koska hyökkääjät käyttivät laillisia työkaluja ja varastettuja kryptografisia avaimia säilyttääkseen tiedon pysyvyyden alkuperäisen vaarantumisen jälkeen."

Kriittisen datan segmentointi on ”välttämätöntä”, hän lisää. ”Eristä yhteistyöalustat ydinliiketoimintajärjestelmistä, ota käyttöön oletusarvoisesti vähiten oikeuksia vaativa käyttöoikeus avoimen jakamisen sijaan ja varmista, että yhden alustan tietomurto ei voi levitä koko infrastruktuuriisi.”

Kehykset, kuten ISO 27001 jotka auttavat arvioimaan yksilöllisiä riskejäsi, voivat myös vähentää haavoittuvuuksien, kuten SharePoint-virheen, uhriksi joutumisen riskiä.

Osana tätä säännölliset pöytäharjoitukset, joissa simuloidaan yhteistyöalustojen tietomurtoja, ovat hyödyllisiä sokeiden pisteiden paljastamiseksi. ”Testaa, pystyykö tiimisi havaitsemaan varastetut todennusavaimet, tunnistamaan alustojen välisen sivuttaisliikkeen ja toteuttamaan eristystoimenpiteitä, kun itse korjaustiedostot on ohitettu”, Perfettibile sanoo.

Samaan aikaan yritykset voivat arvioida Microsoft-toimitusketjunsa riskejä ymmärtämällä, että ne ovat alttiita usean vuokralaisen tietomurroille, jotka vaikuttavat muihin organisaatioihin, Perfettibile sanoo. ”Microsoft hallitsee salausavaimiasi, mikä tekee sinusta alttiita sokeille haasteille, ja kolmansien osapuolten SharePoint-laajennukset luovat lisää hyökkäysvektoreita.”