Χάκερς εκμεταλλεύτηκαν ένα κενό ασφαλείας σε λογισμικό της Microsoft, που χρησιμοποιείται ευρέως, για να παραβιάσουν κυβερνήσεις, επιχειρήσεις και άλλους οργανισμούς παγκοσμίως και να υποκλέψουν ευαίσθητες πληροφορίες, σύμφωνα με αξιωματούχους και ερευνητές κυβερνοασφάλειας.
Η Microsoft διέθεσε το περασμένο Σαββατοκύριακο μια ενημέρωση (patch) για την ευπάθεια στους διακομιστές του λογισμικού διαχείρισης εγγράφων SharePoint. Η εταιρεία δήλωσε ότι συνεχίζει να εργάζεται για την ανάπτυξη και άλλων επιδιορθώσεων, μετά από προειδοποιήσεις ότι χάκερς έβαλαν στο στόχαστρο τους πελάτες του SharePoint, χρησιμοποιώντας το κενό για να αποκτήσουν πρόσβαση στα αρχεία και να εκτελέσουν κακόβουλο κώδικα.
Οι χάκερς έχουν προσπαθήσει ήδη να διεισδύσουν σε κυβερνητικά συστήματα στην Ευρώπη και τη Μέση Ανατολή, σύμφωνα με άτομο που γνωρίζει το θέμα, αναφέρει το Bloomberg.
Στις Ηνωμένες Πολιτείες, απέκτησαν πρόσβαση σε αρκετά συστήματα, συμπεριλαμβανομένων αυτών του Υπουργείου Παιδείας των ΗΠΑ, του Υπουργείου Εσόδων της Φλόριντα και της Γενικής Συνέλευσης του Ρόουντ Άιλαντ, ανέφερε το ίδιο άτομο.
Η εκπρόσωπος του Υπουργείου Εσόδων της Φλόριντα, Bethany Wester Cutillo, ανέφερε σε email ότι η ευπάθεια του SharePoint ερευνάται «σε πολλαπλά κυβερνητικά επίπεδα», αλλά ότι η κρατική υπηρεσία «δεν σχολιάζει δημοσίως το λογισμικό που χρησιμοποιούμε για τις επιχειρήσεις».
Οι χάκερς παραβίασαν επίσης τα συστήματα ενός παρόχου υγειονομικής περίθαλψης με έδρα τις ΗΠΑ και έβαλαν στο στόχαστρο ένα δημόσιο πανεπιστήμιο στη Νοτιοανατολική Ασία, σύμφωνα με έκθεση μιας εταιρείας κυβερνοασφάλειας που επικαλείται το Bloomberg News.
Η αναφορά δεν κατονομάζει καμία από τις δύο οντότητες, αλλά αναφέρει ότι οι χάκερς προσπάθησαν να παραβιάσουν διακομιστές SharePoint σε χώρες όπως η Βραζιλία, ο Καναδάς, η Ινδονησία, η Ισπανία, η Νότια Αφρική, η Ελβετία, το Ηνωμένο Βασίλειο και οι Ηνωμένες Πολιτείες.
Σε ορισμένα συστήματα στα οποία διείσδυσαν, οι χάκερς έκλεψαν διαπιστευτήρια σύνδεσης, περιλαμβανομένων ονομάτων χρηστών, κωδικών πρόσβασης, hash κωδικών και tokens, αναφέρουν οι πηγές.
«Αυτή είναι μια απειλή υψηλής σοβαρότητας και επείγοντος χαρακτήρα», δήλωσε ο Michael Sikorski, επικεφαλής τεχνολογίας και διευθυντής πληροφοριών απειλών στη μονάδα Unit 42 της Palo Alto Networks Inc.
«Αυτό που την καθιστά ιδιαίτερα ανησυχητική είναι η βαθιά ενσωμάτωση του SharePoint με την πλατφόρμα της Microsoft, περιλαμβανομένων των υπηρεσιών τους όπως Office, Teams, OneDrive και Outlook, που περιέχουν όλες τις πληροφορίες που έχουν αξία για έναν επιτιθέμενο», είπε. «Όταν παραβιαστεί, η απειλή δεν παραμένει περιορισμένη — ανοίγει την πόρτα σε ολόκληρο το δίκτυο».
Χιλιάδες επιχειρήσεις και οργανισμοί σε κίνδυνο
Δεκάδες χιλιάδες —αν όχι εκατοντάδες χιλιάδες— επιχειρήσεις και οργανισμοί παγκοσμίως χρησιμοποιούν το SharePoint με κάποιον τρόπο, για αποθήκευση και συνεργασία σε έγγραφα.
Η Microsoft δήλωσε ότι οι επιτιθέμενοι στοχεύουν συγκεκριμένα πελάτες που λειτουργούν διακομιστές SharePoint από τα δικά τους εσωτερικά (on-premise) δίκτυα. Αυτό θα μπορούσε να περιορίσει τον αντίκτυπο σε ένα υποσύνολο πελατών.
Εκπρόσωπος της Microsoft αρνήθηκε να κάνει περαιτέρω σχόλια.
Ο Silas Cutler, ερευνητής στην εταιρεία κυβερνοασφάλειας Censys με έδρα το Μίσιγκαν, υπολόγισε ότι πάνω από 10.000 εταιρείες με διακομιστές SharePoint βρίσκονται σε κίνδυνο. Οι Ηνωμένες Πολιτείες έχουν τον μεγαλύτερο αριθμό τέτοιων εταιρειών, και ακολουθούν η Ολλανδία, το Ηνωμένο Βασίλειο και ο Καναδάς, ανέφερε.
Οι παραβιάσεις έχουν στρέψει και πάλι την προσοχή στις προσπάθειες της Microsoft να ενισχύσει την κυβερνοασφάλειά της μετά από μια σειρά αποτυχιών που έλαβαν μεγάλη δημοσιότητα. Η τεχνολογία της έχει υποστεί αρκετές εκτεταμένες και καταστροφικές επιθέσεις τα τελευταία χρόνια και μια κυβερνητική έκθεση των ΗΠΑ το 2024 χαρακτήρισε την κουλτούρα ασφαλείας της Microsoft ως κάτι που χρειάζεται άμεσες μεταρρυθμίσεις.
Το Κέντρο για την Ασφάλεια του Διαδικτύου (Center for Internet Security), το οποίο διαχειρίζεται ένα σύστημα ανταλλαγής πληροφοριών κυβερνοασφάλειας για πολιτειακές και τοπικές κυβερνήσεις στις ΗΠΑ, εντόπισε πάνω από 1.100 διακομιστές που κινδυνεύουν από την ευπάθεια του SharePoint, δήλωσε ο Randy Rose, αντιπρόεδρος επιχειρήσεων ασφαλείας και πληροφοριών της οργάνωσης. Ο Rose ανέφερε ότι περισσότεροι από 100 διακομιστές είναι πιθανό να έχουν ήδη παραβιαστεί.
Η εφημερίδα Washington Post ανέφερε ότι η παραβίαση επηρέασε ομοσπονδιακές και πολιτειακές υπηρεσίες των ΗΠΑ, πανεπιστήμια, ενεργειακές εταιρείες και μια ασιατική εταιρεία τηλεπικοινωνιών, επικαλούμενη κρατικούς αξιωματούχους και ιδιώτες ερευνητές.
Η Eye Security ήταν η πρώτη που εντόπισε ότι οι επιτιθέμενοι εκμεταλλεύονταν ενεργά τα κενά ασφαλείας κατά τη διάρκεια ενός κύματος κυβερνοεπιθέσεων που ξεκίνησε την Παρασκευή, δήλωσε η Vaisha Bernard, επικεφαλής χάκερ και συνιδιοκτήτρια της εταιρείας.
Η εταιρεία ανέφερε ότι η ευπάθεια επιτρέπει στους χάκερς να αποκτούν πρόσβαση σε διακομιστές SharePoint και να κλέβουν ψηφιακά κλειδιά με τα οποία προσποιούνται τους νόμιμους χρήστες ή υπηρεσίες, ακόμα και μετά την εγκατάσταση των επιδιορθώσεων.
Σύμφωνα με την εταιρεία, οι χάκερς μπορούν να διατηρήσουν την πρόσβασή τους μέσω άλλων θυρών ή τροποποιημένων στοιχείων που επιβιώνουν από ενημερώσεις ή επανεκκινήσεις των συστημάτων.
Οι ευπάθειες του SharePoint εντοπίστηκαν για πρώτη φορά τον Μάιο από ερευνητές που πήραν μέρος σε συνέδριο κυβερνοασφάλειας στο Βερολίνο. Στις αρχές Ιουλίου, η Microsoft εξέδωσε λογισμικά επιδιόρθωσης (patches) για να κλείσει τα κενά ασφαλείας, όμως οι χάκερς βρήκαν εναλλακτικούς τρόπους εισόδου.
«Υπήρχαν τρόποι να παρακαμφθούν οι επιδιορθώσεις», κάτι που επέτρεψε στους χάκερς να διεισδύσουν στους διακομιστές SharePoint αξιοποιώντας παρόμοιες ευπάθειες, δήλωσε η Bernard. «Αυτό ήταν που επέτρεψε να γίνουν αυτές τις επιθέσεις». Οι εισβολές, πρόσθεσε, δεν ήταν στοχευμένες αλλά είχαν σκοπό να επηρεάσουν όσο το δυνατόν περισσότερα θύματα.
Αφού σάρωσε περίπου 8.000 διακομιστές SharePoint, η Bernard δήλωσε ότι έχει εντοπίσει τουλάχιστον 50 που έχουν παραβιαστεί με επιτυχία.
Αρνήθηκε να κατονομάσει τους οργανισμούς που στοχοποιήθηκαν, αλλά ανέφερε ότι τα θύματα βρίσκονται σε χώρες της Βόρειας και Νότιας Αμερικής, της Ευρωπαϊκής Ένωσης, της Νότιας Αφρικής και της Αυστραλίας.
