Atac cibernetic de proporții la Microsoft
Microsoft a emis un avertisment privind o vulnerabilitate critică de securitate care afectează serverele SharePoint on-premises, în contextul unui nou val de atacuri cibernetice la nivel global.
Potrivit companiei, breșa, identificată sub denumirea „ToolShell”, a fost exploatată activ de actori rău intenționați în atacuri ce au vizat servere din întreaga lume, inclusiv cele aparținând unor agenții guvernamentale și instituții de învățământ.
CVE-2025-53770 este o vulnerabilitate de tip „zero-day”, ceea ce înseamnă că a fost necunoscută până de curând și nu beneficia de un remediu de securitate în momentul în care a fost exploatată. Conform experților citați de Forbes, această breșă le oferă atacatorilor posibilitatea de a obține acces complet la serverele SharePoint, fără a fi necesară autentificarea.
Totodată, vulnerabilitatea permite ocolirea unor mecanisme esențiale de protecție, precum autentificarea multifactor (MFA) și autentificarea unică (SSO), notează sursa citată.
„Atacatorii pot executa cod de la distanță, accesa fișierele și configurațiile serverelor și se pot deplasa lateral în rețeaua Windows”, au avertizat experții în securitate.
Atacul a avut consecințe extrem de grave
Având în vedere că SharePoint este frecvent integrat cu servicii esențiale precum Outlook, Teams sau OneDrive, impactul acestei vulnerabilități poate fi extrem de grav.
Printre consecințe se numără furtul de date sensibile, colectarea parolelor utilizatorilor, accesul neautorizat la conturi și resurse interne, precum și menținerea accesului nepermis chiar și după aplicarea patch-urilor, în cazul în care cheile criptografice nu sunt înlocuite.
Microsoft avertizează că atacatorii pot utiliza aceste chei furate pentru a se da drept utilizatori autentici sau servicii legitime, chiar și după actualizarea serverelor.
Țintele atacului
Conform informațiilor disponibile până în prezent, atacurile au avut ca țintă agenții federale și statale din Statele Unite, o instituție guvernamentală din Spania, universități din SUA și alte țări, companii din sectorul energetic, precum și o firmă de telecomunicații din Asia.
Microsoft a emis actualizări urgente de securitate pentru SharePoint Server 2019 și Subscription Edition, iar o actualizare destinată SharePoint 2016 este în proces de dezvoltare.
„Clienții ar trebui să aplice aceste actualizări imediat pentru a se asigura că sunt protejați”, a transmis compania.
În cazul în care instalarea actualizării nu este posibilă imediat, Microsoft recomandă izolarea serverelor prin deconectarea lor de la internet, pentru a preveni atacurile suplimentare.
Agenția americană pentru securitate cibernetică și protecția infrastructurii critice (CISA) a clasificat vulnerabilitatea drept o amenințare majoră în registrul său oficial și a solicitat tuturor instituțiilor guvernamentale să instaleze patch-ul în termen de 24 de ore.
