Duży cyberatak na Microsoft. Instytucje publiczne i duże firmy mogą być szczególnie zagrożone

SharePoint, czyli jeden z flagowych produktów Microsoftu, padł ofiarą szeroko zakrojonego cyberataku. Zespół Unit 42 od Palo Alto Networks wykrył aktywność złośliwego oprogramowania, które atakuje lokalne serwery SharePointa. Na bezpośrednie ryzyko narażone są w szczególności instytucje rządowe, szkoły, szpitale i duże przedsiębiorstwa.

Wykryto kilka luk w zabezpieczeniach, które umożliwiają cyberprzestępcom nieautoryzowany dostęp do oprogramowania oraz uruchamianie dowolnych poleceń na zaatakowanych instancjach programu Microsoft SharePoint. Atakujący omijają kontrole tożsamości, w tym uwierzytelnianie wieloskładnikowe (MFA) i logowanie jednokrotne (SSO), aby uzyskać uprawnienia dostępu. Po uzyskaniu dostępu wykradają poufne dane, wdrażają trwałe backdoory i kradną klucze kryptograficzne.

„Ściśle współpracujemy z Centrum Reagowania Na Zagrożenia Bezpieczeństwa firmy Microsoft (MSRC), aby na bieżąco informować organizacje, których dotyczy problem. Sytuacja szybko się zmienia, dlatego zalecamy śledzenie zaleceń firmy Microsoft. W tej chwili należy założyć, że doszło do naruszenia bezpieczeństwa, zwłaszcza jeśli SharePoint zainstalowano na komputerze ze stałym dostępem do internetu. Samo zainstalowanie poprawek nie wystarczy, aby całkowicie wyeliminować zagrożenie. Zdecydowanie zalecamy, aby organizacje, których dotyczy problem, skorzystały z pomocy profesjonalnego zespołu reagowania na incydenty w celu przeprowadzenia dokładnej oceny naruszenia, wyszukania istniejących backdoorów i zapewnienia całkowitego wyeliminowania zagrożenia ze środowiska”

 – ostrzega Wojciech Gołębiowski, wiceprezes i dyrektor zarządzający Palo Alto Networks w Europie Wschodniej.

Palo Alto Networks zachęca organizacje korzystające z podatnej na ataki lokalnej wersji SharePoint do natychmiastowego podjęcia następujących działań:

• Zastosowanie wszystkich poprawek zalecanych przez Microsoft oraz postępowanie zgodnie z wytycznymi firmy dotyczącymi innych środków zaradczych.
• Zmiana wszystkich kluczy kryptograficznych.
• Zatrudnienie profesjonalnego zespołu ds. reagowania na incydenty.

Dopóki problem nie zostanie rozwiązany, zaleca się natychmiastowe odłączenie lokalnych serwerów SharePoint od Internetu.

Firma Palo Alto Networks udostępniła swoje ustalenia innym członkom Cyber Threat Alliance (CTA). Członkowie CTA wykorzystują te informacje, aby szybko wdrożyć zabezpieczenia dla swoich klientów i systematycznie powstrzymywać złośliwe działania cyberprzestępców.