Hakerzy wykorzystują luki w programie Microsoft SharePoint w globalnych naruszeniach bezpieczeństwa

Pojawiły się nowe informacje dotyczące trwających cyberataków na lokalne serwery SharePoint firmy Microsoft, ujawniając szerszy zasięg, niż początkowo sądzono. Wczoraj serwis Hackread.com poinformował o pilnych ostrzeżeniach firmy Microsoft i nowych aktualizacjach zabezpieczeń dotyczących krytycznych luk w zabezpieczeniach ( CVE-2025-53770 i CVE-2025-53771 ), które umożliwiają atakującym wykonanie złośliwego kodu.

Teraz badacze cyberbezpieczeństwa potwierdzili znaczną eskalację: do tej pory udało się złamać zabezpieczenia około 100 organizacji na całym świecie. Ta powszechna eksploatacja wpłynęła na rządy, firmy i inne podmioty na całym świecie.

Wśród ofiar znalazły się rządy krajów Europy i Bliskiego Wschodu, a także instytucje rządowe USA, takie jak Departament Edukacji, Departament Skarbu Florydy i Zgromadzenie Ogólne Rhode Island.

Celem ataków stała się również amerykańska firma świadcząca usługi opieki zdrowotnej oraz publiczny uniwersytet w Azji Południowo-Wschodniej. Do prób włamań doszło w takich krajach jak Brazylia, Kanada, Indonezja, Hiszpania, Republika Południowej Afryki, Szwajcaria i Wielka Brytania.

Atakujący, jak donoszą źródła, wykorzystują luki typu zero-day, co oznacza, że te słabości były wcześniej nieznane, umożliwiając szpiegom uzyskanie głębokiego dostępu i potencjalnie instalację trwałych tylnych furtek. Firmy zajmujące się cyberbezpieczeństwem, takie jak CrowdStrike, Mandiant Consulting , Shadowserver Foundation i Eye Security, śledzą wiele grup hakerów zaangażowanych w te ataki.

— Fundacja Shadowserver (@Shadowserver) 20 lipca 2025 r.

Holenderska firma Eye Security po raz pierwszy zidentyfikowała aktywną eksploatację w piątek, zauważając, że nawet po wprowadzeniu przez Microsoft pierwszych poprawek na początku lipca, hakerzy znaleźli „sposoby na obejście poprawek”, aby kontynuować ataki. CrowdStrike również zaobserwował aktywną eksploatację od 18 lipca 2025 roku, blokując setki prób w ponad 160 środowiskach klientów.

Jak odkrył CrowdStrike, częstym objawem infekcji jest obecność podejrzanego pliku o nazwie „spinstall0.aspx”, którego atakujący używają do kradzieży kluczy maszynowych IIS po zapisaniu go za pomocą poleceń programu PowerShell.

Skradzione informacje są bardzo poufne, w tym dane logowania, takie jak nazwy użytkowników, hasła i kody skrótu. Głęboka integracja programu SharePoint z innymi usługami Microsoft, takimi jak Office, Teams, OneDrive i Outlook, oznacza, że włamanie nie jest możliwe i „otwiera drzwi do całej sieci”, jak twierdzi Michael Sikorski z Palo Alto Networks .

Chociaż firma Microsoft wydała w weekend poprawki dla programu SharePoint 2019 i edycji subskrypcyjnej, aktualizacje dla programu SharePoint 2016 są wciąż w fazie rozwoju. Zdecydowanie zaleca się organizacjom nie tylko zastosowanie dostępnych poprawek, ale także rotację kluczy maszyn i ponowne uruchomienie usług IIS, aby w pełni zminimalizować zagrożenie.

Uzupełniając te krytyczne kroki, 20 lipca 2025 r. CISA (Agencja ds. Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury) wydała własne wytyczne. Zalecają one skonfigurowanie interfejsu skanowania antymalware (AMSI) w programie SharePoint, wdrożenie programu Microsoft Defender AV na wszystkich serwerach SharePoint oraz, jeśli nie można włączyć interfejsu AMSI, odłączenie zagrożonych produktów publicznych do czasu pełnego zastosowania oficjalnych środków zaradczych.

Ogromna liczba potencjalnie podatnych serwerów SharePoint, szacowana przez wyszukiwarki takie jak Shodan na ponad 8000 na całym świecie, podkreśla pilną potrzebę kompleksowych środków bezpieczeństwa. Wycieki te ponownie poddały analizie praktyki Microsoftu w zakresie cyberbezpieczeństwa, a raport rządu USA z 2024 roku zaleca pilne reformy kultury bezpieczeństwa firmy.

„Kradzież zasobów kryptograficznych to nowy 'phishing', ponieważ przestępcy wiedzą, że podobnie jak w przypadku kradzieży haseł, zdobycie ważnych zasobów kryptograficznych, takich jak klucze API lub tożsamość komputera, jest znacznie łatwiejsze niż stosowanie metod siłowych ” — powiedział Robert Hann , globalny wiceprezes ds. rozwiązań technicznych w Entrust.

„Aby chronić wrażliwe dane za pomocą szyfrowania i modułów HSM, konieczne jest najpierw zrozumienie, które zasoby kryptograficzne, takie jak klucze prywatne, certyfikaty cyfrowe i algorytmy szyfrowania, zabezpieczają poszczególne systemy i informacje. Wykorzystanie modułu HSM jest szczególnie ważne w przypadku danych wrażliwych lub objętych wymogami zgodności” – radzi Robert.

„Oprócz zabezpieczeń HSM firmy muszą wdrożyć inne najlepsze praktyki bezpieczeństwa dla programu SharePoint, takie jak aktualizowanie oprogramowania o najnowsze poprawki i aktualizacje zabezpieczeń, stosowanie silnych haseł, regularne przywracanie kluczy i przestrzeganie wytycznych dotyczących bezpiecznej konfiguracji” – podkreślił.

Według Andrew Obadiaru , dyrektora ds. bezpieczeństwa informacji (CISO) w firmie Cobalt, specjalizującej się w cyberbezpieczeństwie ofensywnym, „Luki typu zero-day na powszechnie wdrożonych platformach, takich jak SharePoint, to prawdziwa żyła złota dla atakujących, ponieważ zapewniają natychmiastowy, skalowalny dostęp do środowisk o wysokiej wartości. Wyzwaniem nie jest samo łatanie luk; atakujący zazwyczaj wdrażają mechanizmy trwałości w ciągu kilku godzin, zapewniając sobie długoterminową ochronę ” .

„Strategie obronne muszą uwzględniać naruszenia i weryfikować mechanizmy kontroli poprzez proaktywne testy, w tym red teaming i ciągłe testy penetracyjne, aby wykryć słabości, zanim zrobią to przeciwnicy. W dzisiejszym krajobrazie zagrożeń, samo reaktywne bezpieczeństwo jest grą bez szans” – radził Andrew.