„Microsoft“ apie kritinį „SharePoint“ pažeidžiamumą sužinojo dar prieš du mėnesius, tačiau nesugebėjo jo ištaisyti
Įmonės visame pasaulyje skubiai pradėjo atnaujinti savo sistemas po to, kai „Google“ ir „Microsoft“ saugumo tarnybos pranešė apie didelio masto kibernetinę ataką, pasinaudojant kritine „Microsoft SharePoint“ programinės įrangos saugumo spraga. Pažeidžiamumas CVE-2025-53770 buvo aptiktas praėjusią savaitę ir iškart buvo priskirtas „nulinės dienos“ kategorijai. Tai reiškia, kad hakeriai pradėjo jį išnaudoti anksčiau, nei „Microsoft“ spėjo išleisti pataisą.
Pasak „TechCrunch“, problema paveikė „SharePoint“ serverio programinę įrangą, kurią plačiai naudoja organizacijos visame pasaulyje vidinių dokumentų saugojimui ir dalijimuisi. „Skylė” leidžia užpuolikams pavogti privačius raktus ir įdiegti kenkėjišką programinę įrangą, suteikiančia galimybę įsiskverbti į įmonės failus ir kitas sistemas tame pačiame tinkle.
Pirmą kartą „SharePoint“ spraga buvo aptikta gegužę Berlyne vykusiame hakerių konkurse, kurį organizavo kibernetinio saugumo įmonė „Trend Micro“, siekdama nustatyti populiarios programinės įrangos klaidas. Praėjusį mėnesį „Microsoft“ išleido pataisą, tačiau, teigia „Reuters“, pataisa buvo neefektyvi ir problemos neišsprendė. Bent jau antradienį bendrovės atstovai naujienų agentūrai negalėjo pateikti komentaro dėl klaidos taisymo ir pataisos efektyvumo.
„Microsoft“ savo tinklaraštyje pranešė, kad už atakas atsakingos mažiausiai trys su Kinija siejamos hakerių grupės. Dvi iš jų – „Linen Typhoon“ ir „Violet Typhoon“ – anksčiau jau buvo minimos bendrovės tyrimuose. Pirmoji specializuojasi intelektinės nuosavybės vagystėse, antroji – konfidencialios informacijos rinkime šnipinėjimo tikslais. Trečioji „Microsoft“ įvardinta grupė „Storm-2603“ yra mažiau ištirta, tačiau, bendrovės duomenimis, anksčiau buvo susijusi su išpirkos reikalaujančiomis atakomis. Šių grupių aktyvumas, susijęs su „SharePoint“ pažeidžiamumo išnaudojimu, buvo užfiksuotas jau nuo liepos 7 d., tai yra kelios savaitės iki viešo pažeidžiamumo atskleidimo.
Charlesas Carmakalas, „Google“ priklausančios „Mandiant“ incidentų reagavimo padalinio technikos direktorius, laiške „TechCrunch“ taip pat patvirtino, kad bent viena iš atakų dalyvių yra susijęs su hakerių grupėmis, veikiančiomis Kinijos interesams. Pasak jo, grėsmė toliau auga, o pažeistų sistemų skaičius gali būti reikšmingas. Dešimtys organizacijų, įskaitant viešąjį sektorių, jau patvirtino įsilaužimo faktą.
Kinijos ambasados Vašingtone atstovas kol kas neatsakė į prašymą pakomentuoti atvejį. Anksčiau Kinijos vyriausybė ne kartą atmetė kaltinimus dėl kibernetinių atakų vykdymo, nors ne visada tiesiogiai neigė savo dalyvavimą atskiruose incidentuose.