Microsoft објави дека хакерски групи поврзани со Кина искористиле сериозни безбедносни пропусти во неговите SharePoint сервери.
Според безбедносниот тим на Microsoft, најмалку три групи APT (Advanced Persistent Threat) – познати како Linen Typhoon, Violet Typhoon и Storm-2603 – користеле таканаречен синџир на напади „ToolShell“, базиран на две ранливости (CVE‑2025‑53770 и CVE‑2025‑53771), за да добијат неовластен пристап до SharePoint средините и да инсталираат злонамерен код.
Целите на овие напади биле SharePoint серверите што компаниите и институциите ги хостираат самите, за разлика од cloud верзијата, која не била засегната. Според извештајот на Microsoft, напаѓачите успешно инсталирале web shell датотека наречена spinstall0.aspx, која им дала пристап до криптографски клучеви и администраторски привилегии.
„Ранливостите овозможуваат целосна контрола врз системите, а компромитираните сервери овозможуваат долгорочен пристап за напаѓачите“, се вели во извештајот.
Според американските медиуми, меѓу погодените беа американските федерални агенции, вклучувајќи ја и Националната администрација за нуклеарна безбедност (NNSA), како и бројни владини и академски институции.
Проценките покажуваат дека повеќе од 8.000 SharePoint сервери достапни на интернет се потенцијално изложени на напад.
Компанијата веќе објави безбедносни закрпи за сите засегнати верзии на SharePoint сервери, вклучувајќи ги SharePoint Server Subscription Edition, 2019 и 2016. Администраторите се повикуваат веднаш да ги применат ажурирањата, како и да ги ротираат криптографските клучеви и да ја рестартираат услугата IIS.
Нападот потсетува на озлогласената кампања „Hafnium“ од 2021 година, кога кинеските хакери ги искористија ранливостите во серверите на Microsoft Exchange. Аналитичарите предупредуваат дека слични напади би можеле да следат и врз други локално хостирани апликации.
Што можат да направат корисниците?
За корисниците кои сè уште не можат да инсталираат закрпи, експертите препорачуваат: да ги исклучат серверите на SharePoint од јавната мрежа; да овозможат пристап само преку VPN; да го следат мрежниот сообраќај и да бараат необични врски.
Исто така, се препорачува да се вклучи напредна заштита (AMSI во „full“ режим), да се користи Windows Defender за Endpoint и да се скенира целиот систем со антивирусен софтвер.