Die SharePoint-aanval is gebruik op hoëprofiel-slagoffers, insluitend die Amerikaanse Nasionale Kernveiligheidsadministrasie, die Departement van Binnelandse Veiligheid, die Departement van Energie en die Departement van Gesondheid en Menslike Dienste, maar baie ander is ook deur die gevolge getref. Hier is wat dit vir jou beteken.

 

Op 20 Julie het Microsoft 'n noodpleister saam met 'n waarskuwing, nadat aanvallers gevind is wat aktief 'n kritieke kwesbaarheid in SharePoint-bedieners op die perseel uitbuit om verifikasie te omseil. Indien suksesvol, sal teenstanders toegang hê tot private SharePoint-inhoud, insluitend interne konfigurasies en lêerstelsels.

Dit het gou geblyk dat die fout gevolg is as CVE-2025-53770 en 'n variant CVE-2025-53771, gesamentlik bekend as ToolShell, is gebruik om versprei ransomware.

Dae later het dit duidelik geword dat die SharePoint-oplossing gekom het na 'n mislukte sekuriteitsopdatering vroeër in die maand. Microsoft het toegegee dat hul aanvanklike oplossing vir die fout – wat in Mei by 'n hackerkompetisie geïdentifiseer is – nie gewerk het nie, wat hulle gedwing het om bykomende regstellings vry te stel om die probleem op te los.

Teen daardie tyd het teenstanders van China en die nasiestaat, insluitend Linne Tifoon en Violet Tifoon – sowel as die bende Storm-2603 – het slagoffers geëis, insluitend die Amerikaanse Nasionale Kernveiligheidsadministrasie, die Departement van Binnelandse Veiligheid, die Departement van Energie en die Departement van Gesondheid en Menslike Dienste.

Microsoft het ook erken dat ander groepe die kwesbaarheid wyer gebruik, met ransomware ingesluit as deel van aanvalle. Daar word geglo dat die Microsoft SharePoint ToolShell-aanvalle teenstanders in gevaar gestel het 396 SharePoint-stelsels oor meer as 145 organisasies in 41 lande.

Met sulke hoëprofiel-teikens mag die SharePoint-aanvalle dalk ver verwyderd voel van die daaglikse besigheid. Tog behoort die voorval 'n wekroep te wees vir enige organisasie wat staatmaak op Microsoft-dienste, wolkplatforms of plaaslike samewerkingsinstrumente. As aanvallers in geharde regeringsomgewings kan volhard, kan hulle maklik kwesbare besigheidstelsels met dieselfde taktiek benut.

So, wat beteken die SharePoint-aanval vir besighede, en hoe kan jy jou sekuriteitsposisie verbeter om te verhoed dat jy in die kruisvuur van aanvalle soos hierdie vasgevang word?

Sekuriteit deur Obskuriteit

Die SharePoint ToolShell-aanvalle het die gevaarlike mite van 'sekuriteit deur obskuriteit' vernietig: Die valse oortuiging dat kleiner organisasies nie geteiken sal word nie omdat hulle nie belangrik genoeg is nie, vertel Dario Perfettibile, visepresident en hoofbestuurder van Europese bedrywighede by Kiteworks. ISMS.aanlyn.

Die "massiewe omvang" van die oortreding onthul hoe moderne kuber-aanvalle "geoutomatiseerde uitbuiting gebruik om kwesbaarhede op skaal te teiken", eerder as om net op spesifieke organisasies te fokus, sê hy. "Met meer as 9,300 XNUMX SharePoint-bedieners wat aanlyn blootgestel is, het aanvallers outomatiese skandering gebruik om duisende kwesbare stelsels te identifiseer en alles wat hulle gevind het, uitgebuit."

Die veldtog se evolusie van staatsgeborgde spioenasie na opportunistiese losprysware-aanvalle “illustreer dit perfek”, sê Perfettibile. “Storm-2603 het blootgestelde bedieners as monetariseringsgeleenthede gesien.”

Die SharePoint-aanvalle het ook uitgelig hoe die opstel van patches alleen nie altyd die probleem oplos nie, as aanvallers reeds na aanvanklike toegang in stelsels wegkruip. In die geval van SharePoint het aanvallers sluiptegnieke gebruik wat selfs na patches voortgeduur het, en swak interne beheermaatreëls uitgebuit.

Die aanval self is kommerwekkend genoeg, maar nog iets om te oorweeg is hoe die aanvallers opereer sodra hulle binne is, sê Pierre Noel, veld-CISO EMEA by Expel. “Hulle het tegnieke soos 'n kommoditeit gemaak.leef van die land af', met behulp van dieselfde administrasie-instrumente waarop jou IT-span staatmaak. Wat voorheen vir gesofistikeerde aanvallers gereserveer was, is nou in elke ransomware-spelboek ingebed.”

Met dit in gedagte, kan dieselfde taktieke wat vir spioenasie op nasionale vlak gebruik word, “net so maklik teen 'n middelmark-kleinhandelaar of gesondheidsorgverskaffer aangewend word”, waarsku hy.

Swak sigbaarheid

Wat die risiko verder vererger, is dat baie organisasies swak sigbaarheid van hul samewerkingsinstrumente het, wat blinde kolle in risikobepalings laat. Terwyl samewerkingsinstrumente van kritieke belang is vir produktiwiteit, "kry hulle selde dieselfde vlak van monitering as eindpunte of brandmure", sê Noel. "Logs is onvolledig, sekuriteitsintegrasies is 'n nagedagte, en die meeste risikobepalings slaan hulle heeltemal oor, wat die platforms waar werknemers eintlik werk, ongemoniteer en blootgestel laat."

Microsoft E3-lisensies kan sekuriteitslogboeke onder las smoor en aflewering tot 72 uur vertraag, terwyl die meeste platforms slegs ouditlogboeke vir 90 dae tot een jaar behou, sê Perfettibile. “Dit is veels te kort, aangesien forensiese ondersoeke aan die lig gebring het dat SharePoint-kompromieë maande voor opsporing plaasgevind het.”

Hierdie “gefragmenteerde monitering” skep ook “perfekte toestande vir onopgespoorde data-uitfiltrasie”, waarsku Perfettibile. “Aanvallers kan hul aktiwiteite oor verskeie platforms versprei om onder elke stelsel se individuele opsporingsdrempels te bly, terwyl sekuriteitspanne nie die kruisplatform-gedragsanalise het wat nodig is om patrone raak te sien nie.”

Sekuriteit maatreëls

Die SharePoint-aanvalle is 'n herinnering dat alle besighede kwesbaar is vir oortredings, selfs al word aanvallers gesien wat eerste hoëprofiel-teikens tref. Met dit in ag genome, is daar 'n paar belangrike stappe wat jy nou kan neem om jouself te beskerm.

Saeed Abbasi, senior bestuurder van produkbestuur by die Qualys Threat Research Unit, raai firmas aan om 'n "noodontdekkingsoudit" te ondergaan om hul hele SharePoint-aanvaloppervlak te karteer, beide op die perseel en aanlyn. "Identifiseer elke internet-blootgestelde bate, die weergawe en die eienaar daarvan, en sorteer dan vir remediëring gebaseer op blootstelling en benutbaarheid, en druk kritieke kolle onder aggressiewe diensvlakooreenkomste."

Vir enige bate waar onmiddellike herstel nie moontlik is nie, beveel Abbasi aan om "gevorderde remediëringstegnieke" toe te pas – soos om die gasheer te isoleer of tydelike versagtingsmaatreëls te implementeer – totdat 'n permanente oplossing ontplooi kan word.

Terselfdertyd is dit 'n goeie idee om alle konfigurasies te verhard. “Dwing multifaktor-verifikasie en voorwaardelike toegang af, herroep publieke toegang en oudit derdeparty-inproppe,” sê Abbasi.

Meer breedweg, om teen SharePoint-styl aanvalle te beskerm, moet organisasies 'n zero-trust-argitektuur implementeer wat elke versoek verifieer, selfs dié van "vertroude" interne stelsels, adviseer Perfettibile. "Dit is belangrik aangesien aanvallers wettige gereedskap gebruik het en kriptografiese sleutels gesteel het om volharding te handhaaf na aanvanklike kompromie."

Kritieke datasegmentering is “noodsaaklik”, voeg hy by. “Isoleer samewerkingsplatforms van kernbesigheidstelsels, dwing toegang met die minste voorregte by verstek af eerder as oop deel, en verseker dat 'n oortreding in een platform nie oor jou hele infrastruktuur kan versprei nie.”

Raamwerke soos ISO 27001 wat help om jou individuele risiko te bepaal, kan ook die kans verminder om deur kwesbaarhede soos die SharePoint-fout betrap te word.

As deel hiervan is gereelde tafelblad-oefeninge wat samewerkingsplatform-oortredings simuleer, nuttig om blinde kolle bloot te lê. “Toets of jou span gesteelde verifikasiesleutels kan opspoor, laterale beweging tussen platforms kan identifiseer en inperking kan uitvoer wanneer kolle self omseil is,” sê Perfettibile.

Terselfdertyd kan firmas hul Microsoft-voorsieningskettingrisiko's assesseer deur te verstaan ​​dat hulle kwesbaar is vir multi-huurder-oortredings wat ander organisasies raak, sê Perfettibile. "Microsoft beheer jou enkripsiesleutels, wat jou vatbaar maak vir blinde dagvaardings, en derdeparty-SharePoint-inproppe skep bykomende aanvalvektore."