Un patch de securitate lansat recent de Microsoft pentru platforma sa SharePoint nu a reuşit să repare complet o vulnerabilitate critică identificată în luna mai, deschizând astfel calea pentru o amplă operaţiune globală de spionaj cibernetic, arată o cronologie a evenimentelor analizată de Reuters, transmite News.ro.
Urmărește cele mai noi producții video TechRider.ro
- articolul continuă mai jos -
Microsoft a confirmat marţi că soluţia sa iniţială a fost ineficientă, dar susţine că ulterior a emis patch-uri suplimentare care rezolvă problema.
Potrivit companiei, două grupuri de hackeri afiliate guvernului chinez – cunoscute sub numele de ”Linen Typhoon” şi ”Violet Typhoon” – exploatează activ vulnerabilitatea, alături de un alt grup localizat în China. Atacurile au vizat deja în weekend circa 100 de organizaţii, iar experţii avertizează că fenomenul va escalada pe măsură ce şi alţi actori cibernetici vor profita de breşă.
Atât Microsoft, cât şi Google (Alphabet) au indicat că primele atacuri au legătură cu hackeri sprijiniţi de Beijing. China, prin ambasada sa la Washington, a negat implicarea şi a declarat printr-un comunicat că ”se opune tuturor formelor de atacuri cibernetice” şi respinge ”acuzaţiile nefondate”.
Cum a apărut vulnerabilitatea ”ToolShell”
Breşa de securitate a fost descoperită în mai, la un concurs de hacking desfăşurat la Berlin şi organizat de compania de securitate cibernetică Trend Micro. Concursul oferea premii de până la 100.000 de dolari pentru identificarea de vulnerabilităţi de tip zero-day în software popular, printre care şi SharePoint – platforma de colaborare şi management de documente a Microsoft.
Un cercetător din cadrul diviziei de securitate a companiei vietnameze Viettel (deţinută de armata statului) a descoperit eroarea şi a demonstrat public cum poate fi exploatată, sub denumirea ”ToolShell”. Acesta a fost recompensat cu 100.000 de dolari.
Trend Micro a transmis că este responsabilitatea furnizorilor de software – în acest caz, Microsoft – să remedieze în mod ”eficient şi prompt” problemele raportate.
Valul de atacuri a început la 10 zile după patch
Microsoft a emis primul patch pe 8 iulie şi a clasificat vulnerabilitatea drept una critică. Cu toate acestea, aproximativ zece zile mai târziu, mai multe companii de securitate cibernetică au semnalat o intensificare a activităţilor maliţioase care vizau exact serverele SharePoint.
Firma britanică Sophos a transmis că ”actorii ameninţători au dezvoltat exploit-uri care aparent ocolesc patch-urile iniţiale.”
Ţinte posibile: peste 9.000 de servere, inclusiv guverne şi companii
Potrivit datelor oferite de motorul de căutare Shodan, peste 8.000 de servere SharePoint expuse online ar putea fi deja compromise. Acestea includ instituţii guvernamentale, bănci, spitale, firme industriale şi companii de audit.
Fundaţia Shadowserver, care monitorizează vulnerabilităţile din infrastructura globală, estimează că peste 9.000 de servere sunt afectate – majoritatea în SUA şi Germania – incluzând mai multe entităţi guvernamentale.
Autoritatea germană pentru securitate cibernetică (BSI) a declarat marţi că a identificat servere vulnerabile în reţelele guvernamentale, dar că acestea nu au fost compromise.
Situaţia este în continuare în desfăşurare, iar Microsoft şi agenţiile guvernamentale de securitate din mai multe ţări continuă monitorizarea şi actualizarea sistemelor.
