Федеральний уряд США та дослідники з кібербезпеки повідомили про активні атаки на нову уразливість у Microsoft SharePoint.
Цієї неділі агенція кібербезпеки США CISA попередила, що зловмисники активно використовують цю уразливість. Microsoft ще не надала оновлення для всіх версій SharePoint, що залишає клієнтів по всьому світу без можливості захиститися від поточних атак.
Microsoft повідомила, що уразливість, відома як CVE-2025-53770, торкається версій SharePoint, які компанії розгортають та управляють на власних серверах. SharePoint дозволяє компаніям зберігати, обмінюватися і управляти своїми внутрішніми файлами.
Компанія повідомила, що працює над виправленнями безпеки, щоб запобігти використанню вразливості зловмисниками. Цей недолік має назву «нульовий день», оскільки постачальник не отримав ні часу для виправлення, ні попередження про проблему, і він вражає версії програмного забезпечення, починаючи з SharePoint Server 2016.
Наразі невідомо, скільки серверів вже були зламані, але, ймовірно, це тисячі малих і середніх підприємств, які користуються цього програмного забезпечення. Згідно з інформацією видання The Washington Post, кілька федеральних агенцій США, університетів і енергетичних компаній вже стали жертвами атак.
Компанія Eye Security, яка першою повідомила про цю вразливість, зазначила, що під час публікації виявила «десятки» Microsoft SharePoint серверів, які активно використовуються злочинцями. Уразливість дозволяє хакерам викрадати приватні цифрові ключі з серверів SharePoint без необхідності мати облікові дані для входу. Потрапивши всередину, зловмисники можуть дистанційно встановлювати шкідливе ПЗ та отримувати доступ до файлів і даних, що зберігаються всередині. Eye Security зауважила, що SharePoint взаємодіє з іншими програмами, такими як Outlook, Teams і OneDrive, що може призвести до подальшого зламу мережі та крадіжки даних.
Eye Security також наголосила, що оскільки проблема пов’язана із викраденням цифрових ключів, які можуть бути використані для видачі себе за легітимні запити на сервері, клієнти повинні не лише виправити вразливість, але й вжити додаткових заходів для зміни своїх цифрових ключів, щоб запобігти повторному зловживанню сервером.
CISA та інші закликали клієнтів «вжити термінових рекомендованих дій». Відсутність оновлень або заходів безпеки змушує клієнтів розглянути можливість відключення потенційно постраждалих систем від інтернету.
«Якщо у вас є SharePoint [на місцевому сервері], доступний в інтернеті, вам слід вважати, що ви вже стали жертвою атаки», – заявив Майкл Сікорський, керівник підрозділу розвідки загроз компанії Palo Alto Networks Unit 42, в електронному листі.
Ще невідомо, хто проводить атаки на сервери SharePoint, але це остання в серії кібератак, націлених на клієнтів Microsoft за останні кілька років.
У 2021 році група хакерів, пов’язана з Китаєм, відома як Hafnium, була спіймана за використання уразливості в самоорганізованих серверах електронної пошти Microsoft Exchange, що призвело до масових атак і викрадення даних електронної пошти та контактів з підприємств по всьому світу. Згідно з нещодавніми обвинуваченнями Міністерства юстиції, хакери зламали понад 60 000 серверів.
Два роки потому Microsoft підтвердила кібератаку на свої хмарні системи, які вона безпосередньо управляє, що дозволило китайським хакерам викрасти чутливий ключ підпису електронної пошти, який надавав доступ до електронної пошти споживачів і підприємств, що перебувають під управлінням компанії.
Microsoft також повідомляла про неодноразові вторгнення від хакерів, пов’язаних з урядом Росії.
Чи знаєте ви більше про кібератаки на SharePoint? Чи є ви постраждалим клієнтом? Зв’яжіться з цим репортером через зашифроване повідомлення на Signal.
Попередня версія цієї статті містила неправильний номер CVE; повідомлення було виправлено, щоб відзначити правильну уразливість, CVE-2025-53770.