Світ кібербезпеки схвильований новиною про масштабну атаку, спрямовану на Microsoft SharePoint. Федеральні органи США та аналітики безпеки б’ють на сполох, оскільки зловмисники активно експлуатують нещодавно виявлену, раніше невідому вразливість-так званий “нульовий день”. Ця ситуація особливо небезпечна, оскільки Microsoft ще не випустила патч для всіх постраждалих версій SharePoint, залишаючи організації по всьому світу без ефективного захисту.
Що таке вразливість нульового дня і чому це так небезпечно?
Уразливість нульового дня-це критичний недолік у програмному забезпеченні, про який розробнику невідомо на момент його виявлення зловмисниками. Це означає, що немає готового виправлення, і організації залишаються вразливими до атак, поки розробник не випустить патч. У випадку з SharePoint (CVE-2025-53770), хакери можуть обходити традиційні механізми безпеки і впроваджувати шкідливе ПЗ, отримуючи несанкціонований доступ до конфіденційних даних.
Як відбувається атака?
Згідно з інформацією від компанії Eye Security, перша виявила вразливість, хакери використовують її для крадіжки цифрових ключів з серверів SharePoint. Це схоже на крадіжку “секретного ключа” від замка, що дозволяє отримати доступ до сховища даних без необхідності надавати логін і пароль. Після отримання ключа зловмисники можуть віддалено впроваджувати шкідливе програмне забезпечення, красти файли, змінювати налаштування і навіть використовувати сервер як опорну точку для подальшої атаки на всю корпоративну мережу. Особливо небезпечним є той факт, що SharePoint інтегрований з іншими популярними програмами Microsoft, такими як Outlook, Teams та OneDrive, що дозволяє хакерам розширювати свою атаку та компрометувати ще більше даних.
Масштаб проблеми: хто постраждав?
Точний масштаб атаки поки невідомий, але експерти побоюються, що тисячі підприємств малого та середнього бізнесу, які покладаються на SharePoint для зберігання та управління своїми файлами, можуть опинитися під ударом. За даними The Washington Post, вже підтверджені інциденти злому в декількох федеральних агентствах США, університетах і енергетичних компаніях. Ситуація ускладнюється тим, що вразливість впливає на версії SharePoint Server, встановлені та керовані самими організаціями, а не надані як хмарний сервіс Microsoft, що ускладнює своєчасне оновлення.
Що робити? Рекомендації експертів
CISA (Агентство кібербезпеки та безпеки інфраструктури США) та інші експерти настійно рекомендують вжити негайних заходів для захисту від атак. Ключові рекомендації:
- Негайно застосувати доступні патчі безпеки.Слідкуйте за оновленнями Microsoft і встановлюйте їх якомога швидше.
- Замінити цифрові ключі.Так як атака передбачає крадіжку ключів, їх заміна – критично важлива міра.
- Оцінити ризики і вжити додаткових заходів захисту.Підсильте моніторинг мережевого трафіку, активуйте двофакторну аутентифікацію і проведіть аудит безпеки.
- У разі неможливості негайного застосування патча-розгляньте можливість відключення вразливих систем від мережі Інтернет, щоб мінімізувати ризик зараження.
Прецеденти: напади на Microsoft в останні роки
Ця атака не є випадковістю. В останні роки Microsoft зазнала кібератак, проведених різними зловмисниками:
- Hafnium (2021):Хакерська група, яку підтримує Китай, використовувала вразливість на серверах електронної пошти Microsoft Exchange для масового злому та крадіжки даних електронної пошти.
- Китайські хакери (2023):Вкрали секретний ключ для підпису електронної пошти, отримавши доступ до корпоративних і призначених для користувача облікових записів електронної пошти.
- Російські хакери:Неодноразові зломи, здійснювані групами, пов’язаними з російським урядом.
Не знаєте, чи торкнулося вас?
При необхідності повідомити про кібератаки, пов’язані з SharePoint, будь ласка, зв’яжіться з журналістом через зашифроване повідомлення за адресою zackwhittaker.1337 на сайті Signal.
Примітка: у попередній версії статті був вказаний невірний номер CVE. Стаття була оновлена, щоб вказати правильну вразливість-CVE-2025-53770.
