În câteva cuvinte
O vulnerabilitate critică în software-ul Microsoft SharePoint a permis infractorilor cibernetici să obțină acces la rețele corporative. Sute de servere locale în Germania, SUA și Canada sunt expuse riscului de furt de date și parole. Investigațiile preliminare sugerează o posibilă implicare a actorilor de amenințare legați de China.
O vulnerabilitate majoră în software-ul Microsoft SharePoint a permis infractorilor cibernetici să obțină acces neautorizat la rețelele corporative sensibile. Analiștii indică faptul că sute de servere operate local la nivel global sunt expuse riscului.
Conform datelor furnizate de organizația internațională de securitate cibernetică Shadowserver Foundation, la sfârșitul săptămânii trecute, în Germania au fost identificate cel puțin 104 servere SharePoint vulnerabile, deschise pe internet. Acest lucru înseamnă că hackerii ar fi putut obține acces la sistemele acestor companii.
Cea mai gravă situație s-a înregistrat în SUA, cu 546 de servere afectate, în timp ce Canada se află pe locul trei, cu 87 de sisteme compromise. Experții de la Shadowserver Foundation subliniază că sunt expuse riscului exclusiv serverele SharePoint operate local, nu și varianta cloud a Microsoft 365.
Shadowserver Foundation este o organizație internațională non-profit dedicată îmbunătățirii securității pe internet, care scanează rețeaua pentru a identifica sistemele vulnerabile. Prin metode tehnice similare, hackerii pot identifica și infiltra sistemele victimelor.
Pericolul acestei vulnerabilități, denumită „Toolshell”, este extrem de ridicat, având un scor CVSS de 9,8 (aproape de maximul de 10) pe scara internațională a vulnerabilităților de securitate. Potrivit experților, hackerii pot folosi această breșă pentru a sustrage date, parole și chiar chei digitale, permițându-le accesul repetat la sisteme, chiar și după ce vulnerabilitatea a fost remediată.
Compania olandeză Eye Security avertizează asupra acestui scenariu, subliniind că atacatorii pot, prin „Toolshell”, să pătrundă adânc în sistem și să instaleze „uși din spate” digitale. Singura consolare este că atacul trebuie efectuat manual; o răspândire automată, similară unui virus, nu este posibilă.
Urmele preliminare ale investigației indică o posibilă legătură cu China. Conform unui raport al "Washington Post", cel puțin unul dintre primii atacatori responsabili pentru exploatarea timpurie a acestei vulnerabilități este un actor de amenințare asociat cu China. De asemenea, autoritățile americane au identificat servere care, în cursul zilelor de vineri și sâmbătă, au stabilit conexiuni compromise cu adrese IP din China.
