Atak hakerów zagraża władzom i firmom: wpływ na oprogramowanie Microsoft!

Atak hakerów zagraża władzom i firmom: wpływ na oprogramowanie Microsoft!

W ostatnich dniach amerykańska firma technologiczna Microsoft odkryła alarmującą lukę w zabezpieczeniach swojego oprogramowania SharePoint, która już doprowadziła do ataków na wiele organizacji, zarówno komercyjnych, jak i rządowych. Luka ta dotyczy lokalnych serwerów używanych do udostępniania plików poprzez SharePoint. Atakującym udało się już uzyskać dostęp do systemów „dziesiątek” organizacji, a firma zajmująca się bezpieczeństwem IT Palo Alto Networks zgłosiła rozległą aktywność. Dostęp do serwerów może potencjalnie prowadzić do kradzieży wrażliwych danych i haseł, w tym kluczy cyfrowych, które mogłyby zapewnić atakującym późniejszy dostęp do zamkniętych systemów. Firma ochroniarska Crowdstrike opisuje tę lukę jako „znaczącą”.

Firma Microsoft poinformowała o problemie we wpisie na blogu i natychmiast udostępniła aktualizacje usuwające lukę w zabezpieczeniach. Amerykańska agencja bezpieczeństwa IT CISA również skomentowała sytuację i wezwała dotknięte podmioty i firmy do szybkiego działania. Pierwsze oznaki ataków wykryto w piątek, choć nie jest jasne, kto stał za atakami. Szczególnie niepokojące jest to, że w USA pomyślnie zhakowano serwery dwóch agencji federalnych, ale nie podano żadnych konkretnych informacji na temat agencji, których to dotyczyło.

Szczegóły luki

Ta specyficzna luka, znana jako CVE-2025-53770, umożliwia atakującym uzyskanie nieautoryzowanego dostępu do lokalnych serwerów SharePoint. Według CISA luka umożliwia zdalne wykonanie kodu (RCE). Narzędzia exploitów, takie jak ToolShell, umożliwiają dostęp do wrażliwych danych i wykonanie dowolnego kodu. Zagrożenie jest znaczące, a jego pełny zakres pozostaje przedmiotem badania. CISA zaleciła wdrożenie procesów audytu i audytu bezpieczeństwa w celu ochrony systemów.

CISA zaleca między innymi, co następuje:

• Konfigurierung des Antimalware Scan Interface (AMSI) in SharePoint, um die Sicherheit zu erhöhen.
• Implementierung von Microsoft Defender AV auf allen SharePoint-Servern.
• Trennung der betroffenen Produkte vom Dienst, wenn AMSI nicht aktiv sein kann.
• Anwendung offizieller Abhilfemaßnahmen, sobald diese verfügbar sind.
• Befolgung der BOD 22-01-Richtlinien speziell für Bundesbehörden.

Środki zapobiegawcze i reakcja władz

20 lipca 2025 r. CISA dodała CVE-2025-53770 do swojego katalogu znanych luk w zabezpieczeniach. Aby zminimalizować zagrożenie, CISA zaleca wszystkim organizacjom natychmiastowe zgłaszanie incydentów. Organizacje zachęca się do wdrożenia kompleksowego systemu rejestrowania i monitorowania w celu identyfikowania aktywności exploitów, a także przeglądania i minimalizowania układu i uprawnień administracyjnych. Dodatkowo zidentyfikowano konkretne adresy IP, z których w okresie od 18 do 19 lipca 2025 r. miała miejsce podejrzana aktywność.

Ciągłe usuwanie znanych luk w zabezpieczeniach ma kluczowe znaczenie dla ochrony organizacji przed cyberatakami. CISA jasno stwierdza, że ​​wszystkie podmioty i firmy, których to dotyczy, muszą działać tak szybko, jak to możliwe, aby uniknąć szkód następczych.
Więcej na ten temat przeczytasz na Wiedeń.at, Wszystko o bezpieczeństwie I Wiadomości o bezpieczeństwie cybernetycznym.