Декількома словами
У програмному забезпеченні Microsoft SharePoint виявлено критичну вразливість, через яку кіберзлочинці можуть проникати в корпоративні мережі. Сотні локальних серверів по всьому світу, включаючи Німеччину, США та Канаду, опинилися під загрозою несанкціонованого доступу до даних та паролів. Розслідування вказує на можливий слід атаки з Китаю.
Серйозна вразливість у програмному забезпеченні Microsoft SharePoint надала кіберзлочинцям можливість несанкціонованого доступу до конфіденційних корпоративних мереж. За даними аналітиків, по всьому світу під загрозою перебувають сотні серверів, які експлуатуються локально.
За інформацією міжнародної організації з кібербезпеки Shadowserver Foundation, на кінець минулого тижня у Німеччині було виявлено щонайменше 104 вразливих сервери SharePoint, доступні з інтернету. Це свідчить про те, що хакери потенційно могли отримати доступ до систем цих компаній.
Найбільша кількість постраждалих серверів зафіксована у США — 546. На третьому місці Канада з 87 скомпрометованими системами. Експерти Shadowserver Foundation підкреслюють, що ризику піддаються виключно локальні інсталяції SharePoint-серверів, тоді як хмарна версія Microsoft 365 залишається захищеною.
Shadowserver Foundation — це міжнародна неприбуткова організація, що займається підвищенням рівня безпеки в інтернеті та активно сканує мережу на предмет вразливих систем. Саме за таким принципом кіберзлочинці можуть ідентифікувати та проникати в цільові системи.
Рівень небезпеки цієї вразливості, яка отримала назву "Toolshell", є надзвичайно високим, що підтверджується її оцінкою CVSS у 9,8 бала з 10. За даними фахівців, зловмисники можуть використовувати цю "дірку" для викрадення даних, паролів, а також для отримання цифрових ключів, що дозволяють їм повторно проникати в системи навіть після усунення вразливості.
Нідерландська компанія Eye Security попереджає про потенційні сценарії атаки, коли зловмисники можуть глибоко проникати в систему через "Toolshell" та встановлювати цифрові "чорні ходи". Єдиною втіхою є те, що атака вимагає ручного втручання і не поширюється автоматично, як комп'ютерний вірус.
Попередні дані розслідування вказують на можливий слід у Китаї. За інформацією низки джерел, щонайменше один з перших зламників, відповідальних за раннє використання цієї вразливості, пов'язаний з китайськими кіберзагрозами. Американські органи влади також ідентифікували сервери, які з п'ятниці по суботу встановлювали скомпрометовані з'єднання з IP-адресами в Китаї.
