Επιβεβαίωση παραβίασης SharePoint από Microsoft

Η Microsoft ανακοίνωσε ότι ευπάθειες στο SharePoint έχουν αξιοποιηθεί από ύποπτους Κινέζους χάκερ, ενώ υπάρχουν αναφορές ότι και η US National Nuclear Security Administration ενδέχεται να έχει επηρεαστεί.

Λεπτομέρειες για την επίθεση και τους δράστες

Μετά την πρόσφατη προειδοποίηση της Microsoft για «ενεργές επιθέσεις» σε πελάτες του SharePoint Server μέσω γνωστής ευπάθειας, η εταιρεία δημοσίευσε ανάρτηση με περισσότερες πληροφορίες για το περιστατικό. Σύμφωνα με τη Microsoft, τρεις φερόμενοι ως Κινέζοι κρατικοί χάκερ, οι Linen Typhoon, Violet Typhoon και Storm-2603, εκμεταλλεύτηκαν μια γνωστή ευπάθεια spoofing και μια ευπάθεια απομακρυσμένης εκτέλεσης κώδικα σε on-premises SharePoint servers.

Εύρος παραβίασης και θύματα

Σύμφωνα με τη Reuters, περίπου 100 οργανισμοί είχαν παραβιαστεί μέχρι το περασμένο Σαββατοκύριακο, όπως δήλωσε η Vaisha Bernard, επικεφαλής χάκερ της Eye Security. Το Shadowserver Foundation ανέφερε ότι οι περισσότεροι επηρεασμένοι βρίσκονται στις ΗΠΑ και τη Γερμανία, συμπεριλαμβανομένων κυβερνητικών οργανισμών.

Επίθεση σε κρίσιμες υποδομές

Η Bloomberg μετέδωσε ότι, σύμφωνα με άτομο με γνώση του θέματος, οι χάκερ χρησιμοποίησαν τις ευπάθειες του SharePoint για να διεισδύσουν στην US National Nuclear Security Administration και άλλους οργανισμούς, χωρίς ωστόσο να διαρρεύσουν ευαίσθητες ή διαβαθμισμένες πληροφορίες. Η συγκεκριμένη ομοσπονδιακή υπηρεσία διαχειρίζεται το πυρηνικό οπλοστάσιο των ΗΠΑ, παρέχει πυρηνικά συστήματα πρόωσης για υποβρύχια και προωθεί τη διεθνή πυρηνική ασφάλεια.

Ανεπαρκές αρχικό patch και τρέχουσα κατάσταση

Ένα patch ασφαλείας που κυκλοφόρησε νωρίτερα αυτόν τον μήνα φαίνεται να δεν διόρθωσε επαρκώς τις ευπάθειες, οι οποίες εντοπίστηκαν αρχικά τον Μάιο σε διαγωνισμό hacking στο Βερολίνο. Η Microsoft αναφέρει ότι μόνο οι on-prem servers επηρεάστηκαν και ότι οι ευπάθειες (CVE-2025-49706 και CVE-2025-49704) έχουν πλέον διορθωθεί σε όλες τις υποστηριζόμενες εκδόσεις του SharePoint Server. Η εταιρεία συστήνει στους πελάτες να εφαρμόσουν άμεσα τις ενημερώσεις για να διασφαλίσουν την προστασία τους.

Προειδοποιήσεις και συστάσεις της Microsoft

Η Microsoft εκτιμά με μεγάλη βεβαιότητα ότι οι επιτιθέμενοι θα συνεχίσουν να αξιοποιούν αυτές τις ευπάθειες σε μη ενημερωμένα on-premises SharePoint συστήματα. Προτείνει στους πελάτες να ενεργοποιήσουν και να ρυθμίσουν το Antimalware Scan Interface (AMSI) και το Microsoft Defender Antivirus (ή αντίστοιχες λύσεις) σε όλες τις εγκαταστάσεις SharePoint, να ρυθμίσουν το AMSI σε Full Mode, να αλλάξουν τα ASP.NET machine keys των servers, να επανεκκινήσουν το Internet Information Services (IIS) και να εγκαταστήσουν το Microsoft Defender for Endpoint ή παρόμοιες λύσεις.

Προφίλ των ομάδων χάκερ

Οι ομάδες Linen Typhoon και Violet Typhoon φέρονται να έχουν ιστορικό σε ψηφιακά εγκλήματα, όπως κλοπή πνευματικής ιδιοκτησίας, κυβερνητική και στρατιωτική κατασκοπεία, και εκμετάλλευση αδυναμιών για εγκατάσταση web shells.

Storm-2603 και αντιδράσεις της Κίνας

Η Storm-2603 παραμένει πιο αινιγματική, με τη Microsoft να εκτιμά με «μέτρια βεβαιότητα» ότι πρόκειται για ομάδα με έδρα την Κίνα, χωρίς όμως να μπορεί να τη συνδέσει άμεσα με τις άλλες δύο. Η πρεσβεία της Κίνας στην Ουάσινγκτον δήλωσε ότι η χώρα αντιτίθεται σε κάθε μορφή κυβερνοεπιθέσεων και απορρίπτει κατηγορηματικά τις αβάσιμες κατηγορίες.

Έκκληση για υπεύθυνη στάση και ιστορικό περιστατικών

Η πρεσβεία τόνισε ότι οι εμπλεκόμενοι πρέπει να υιοθετήσουν επαγγελματική και υπεύθυνη στάση στην αξιολόγηση τέτοιων περιστατικών, βασίζοντας τα συμπεράσματά τους σε επαρκή αποδεικτικά στοιχεία και όχι σε αβάσιμες εικασίες. Το 2023, η Microsoft είχε βρεθεί ξανά στο προσκήνιο λόγω παραβίασης email της αμερικανικής κυβέρνησης, που επίσης αποδόθηκε σε Κινέζους χάκερ. Αργότερα, το ομοσπονδιακό Cyber Safety Review board δημοσίευσε έκθεση που ανέδειξε μια «αλυσίδα αποτρέψιμων λαθών της Microsoft» που επέτρεψαν την παραβίαση. Δεδομένης της στενής σύνδεσης της υποδομής της Microsoft με κρίσιμες κυβερνητικές λειτουργίες, παραμένει αβέβαιο αν θα διαταχθεί νέα ανασκόπηση από την αμερικανική κυβέρνηση.

[ Πηγή: PCGamer ]