Meredeken nő a SharePoint-támadások áldozatainak száma

A szerdán jelentett friss információk szerint biztonsági kutatók már legalább 400 szervezetet azonosítottak áldozatként a Microsoft SharePoint nulladik napi sebezhetőségét kihasználó támadássorozatban, ami meredek növekedést jelez. A sebezhetőséget elsőként azonosító holland Eye Security kiberbiztonsági cég a hét elején még 100 különböző áldozatról jelentett vizsgálata után, tehát a feltört sterverek száma a hét eleje óta jelentősen megemelkedett, ami azért különösen aggasztó, mert a szolgáltatás meghatározó szerepet tölt be az intézményi dokumentumkezelésben és kollaborációs folyamatokban.

A Microsoft már napokkal ezelőtt kiadta a sürgősségi javításokat az összes érintett SharePoint verzióhoz: a a „ToolShell” néven említett, illetve CVE-2025-53770 és CVE-2025-53771 azonosítók alatt követett biztonsági réseket a KB5002768 és KB5002754 jelölésű patchek foltozzák be. A hibák csak a helyszíni, azaz on-premise SharePoint-kiszolgálókat érintik, a Microsoft 365-ben található SharePoint Online-t nem. A hiba kihasználásával a támadók számára lehetségessé válik rosszindulatú kód távolról való futtatása az érintett szerveren, így hozzáférhet a benne tárolt fájlokhoz, valamint a vállalat tágabb hálózatán lévő más rendszerekhez. A CVE-2025-53770 kódon jegyzett sebezhetőség kritikusnak számít, a kihasználhatóság egyszerűsége, a potenciális károk mértéke és a folyamatos célzott támadások miatt 10-ből 9,8-as besorolást kapott.

Az érintett szervezetek pontos nevesített listáját természetesen nem hozták nyilvánosságra, de az illetékes nemzeti hatóságokat értesítették. Az érintettek többsége az Egyesült Államokban és Németországban található, és az áldozatok között kormányzati szervezetek is találhatók. A kampány kezdetben a kormányzati szervezetek szűk körét célozta meg, de mostanra már sokkal kiterjedtebb.

A Bloomberg friss információi szerint az érintett szervezetek közé tartozik az USA nukleáris fegyverkészletének karbantartásáért és fejlesztéséért felelős szövetségi ügynökség, az amerikai Nemzeti Nukleáris Biztonsági Hivatal (NNSA) is. A szervezet szóvivője megerősítette a kompromittálódás tényét, de hozzátette, hogy a támadás a minisztériumot „minimálisan érintette”.

A Google és a Microsoft több bizonyítékot is talált arra, hogy kínai csoportok állnak a támadások mögött, és mivel egyre több hackercsoport próbálja kihasználni a lehetőséget, a behatolások számának növekedésére lehet számítani a közeljövőben. A kínai kormány tagadja a vádakat. A redmondi cég szerint három különálló csoportot sikerült eddig megfigyelni a támadásoknál, a Linen Typhoon, a Violet Typhoon és a Storm-2603 csoportokat. Utóbbiról kevés információ áll a kutatók rendelkezésére, és eddig főleg zsarolóvírusos támadásokhoz lehetett kötni a tevékenységüket.

A 2001 óta értékesített SharePoint szerverszoftvert a vállalatok belső dokumentumok tárolására, kezelésére, megosztására és szerkesztésére használják jellemzően a saját intranetjükön belül. A Microsoft szerint 2020-ban a SharePointnek 200 millió felhasználója volt, míg a Jobera informatikai álláskereső oldal adatai szerint tavaly több mint 400 000 ügyfélszervezet használta a szoftvert, köztük a Fortune 500-as vállalatok nagyjából 80 százaléka.