(Блумберг) -- Хакеры использовали уязвимость в популярном программном обеспечении корпорации Microsoft Corp., чтобы взламывать правительства, бизнесы и другие организации по всему миру и красть чувствительную информацию, как сообщили официальные лица и исследователи в области кибербезопасности.
В выходные Microsoft выпустил обновление для устранения уязвимости в серверах программного обеспечения управления документами SharePoint. Компания заявила, что все еще работает над другими исправлениями после предупреждений о том, что хакеры направляются на клиентов SharePoint, используя уязвимость для входа в файловые системы и выполнения кода.
По словам представителей двух фирм по кибербезопасности, CrowdStrike Holdings, Inc. и Googles Mandiant Consulting, различные хакеры запускают атаки через уязвимость Microsoft.
Хакеры уже использовали уязвимость для взлома систем национальных правительств в Европе и Ближнем Востоке. В США они взломали правительственные системы, включая те, которые принадлежат Министерству образования США, Департаменту доходов Флориды и Генеральной ассамблее Род-Айленда.
Представители Министерства образования и законодательного органа Род-Айленда не ответили на звонки и электронные письма, запрашивающие комментарии в понедельник. Представитель Департамента доходов Флориды, Бетани Вестер Кутилло, заявила по электронной почте, что уязвимость SharePoint расследуется на нескольких уровнях правительства, но агентство не комментирует публично программное обеспечение, которое мы используем в операциях.
Хакеры также взломали систему поставщика здравоохранения в США и атаковали общественный университет в Юго-Восточной Азии, согласно отчету фирмы по кибербезопасности, просмотренному Блумберг Ньюс. Отчет не идентифицирует ни одну из этих организаций по имени, но говорит, что хакеры пытались взломать серверы SharePoint в странах, включая Бразилию, Канаду, Индонезию, Испанию, Южную Африку, Швейцарию, Великобританию и США. Фирма попросила не называть ее из-за чувствительности информации.
В некоторые системы, в которые они взломались, хакеры украли учетные данные для входа, включая имена пользователей, пароли, хэш-коды и токены, согласно лицу, знакомому с ситуацией, который также высказался под условием о неразглашении чувствительной информации.
Это угроза высокой степени серьезности и срочности, - сказал Майкл Сикорски, главный технолог и руководитель отдела угроз Unit 42 в Palo Alto Networks Inc.
Особенно беспокоит то, что SharePoint глубоко интегрирован с платформой Microsoft, включая их сервисы, такие как Office, Teams, OneDrive и Outlook, содержащие всю ценную информацию для атакующего, сказал он. Компрометация не остается ограниченной - это открывает дверь ко всей сети.
Десятки тысяч, если не сотни тысяч, предприятий и учреждений по всему миру используют SharePoint для хранения и совместной работы над документами. Microsoft заявила, что атакующие специально нацеливаются на клиентов, использующих серверы SharePoint с их собственных корпоративных сетей, в отличие от того, чтобы быть размещенными и управляемыми технологической фирмой. Это может ограничить воздействие на подсекцию клиентов.
Представитель Microsoft отказался давать комментарии помимо предыдущего заявления.
Это мечта для операторов программ-вымогателей, - сказал Силас Катлер, исследователь в мичиганской фирме по кибербезопасности Censys. Он оценил, что более 10 000 компаний с серверами SharePoint находились под угрозой. США имели наибольшее количество таких фирм, за ними следовали Нидерланды, Великобритания и Канада, сказал он.
Взломы привлекли новое внимание к усилиям Microsoft по укреплению своей кибербезопасности после ряда крупных неудач. Фирма наняла руководителей из мест, таких как правительство США, и проводит еженедельные встречи с высшими руководителями для того, чтобы сделать свое программное обеспечение более устойчивым. Технологии компании неоднократно подвергались широкомасштабным и разрушительным взломам в последние годы, и доклад правительства США 2024 года описывал культуру безопасности компании как требующую срочных реформ.
Центр кибербезопасности Интернета, который ведет систему обмена информацией по кибербезопасности для штатов и местных правительств в США, обнаружил более 1 100 серверов, которые подвержены угрозе из-за уязвимости SharePoint, сказал Рэнди Роуз, вице-президент по операциям и разведке безопасности организации. По его словам, более 100 из них, вероятно, были взломаны.
The Washington Post сообщил, что нарушение затронуло федеральные и штатовские агентства США, университеты, энергетические компании и азиатскую телекоммуникационную компанию, ссылаясь на официальных лиц и частных исследователей.
Eye Security было первым, кто выявил, что хакеры активно используют уязвимости в волне кибератак, которая началась в пятницу, сказал Вайша Бернард, главный хакер и совладелец компании.
Eye Security заявило, что уязвимость позволяет хакерам получить доступ к серверам SharePoint и украсть ключи, позволяющие им поддельно представлять пользователей или службы даже после того, как сервер был обновлен. Он сказал, что хакеры могут сохранять доступ через завороты или измененные компоненты, которые могут выжить после обновлений и перезапусков систем.
Уязвимости SharePoint, известные как ToolShell, были впервые выявлены в мае исследователями на берлинской конференции по кибербезопасности. В начале июля Microsoft выпустила патчи для устранения уязвимостей, но хакеры нашли другой способ.
Были обходные пути в патчах, которые позволили хакерам взламывать серверы SharePoint, используя аналогичные уязвимости, сказал Бернард. Это позволило этим атакам произойти. Вторгновения, сказал он, не были направлены и вместо этого стремились скомпрометировать как можно больше жертв. Проанализировав около 8 000 серверов SharePoint, Бернард заявил, что он пока идентифицировал по крайней мере 50 успешно скомпрометированных серверов.
Он отказался идентифицировать организации, которые были целью атак, но сказал, что среди них были правительственные агентства и частные компании, включая крупные мультинациональные корпорации. Жертвы находились в странах Северной и Южной Америки, ЕС, Южной Африки и Австралии, добавил он.
-- При содействии Линн Доан, Камерон Фози, Даниэля Кэнсел, Ашны Шах, Джейн Ланхи Ли и Патрика Хоуэлла О'Нила.
(Обновление с дополнительной информацией начиная с третьего параграфа.)
2025 Bloomberg L.P.
