Nicolai Busekist
Microsoft har delt en advarsel om, at kinesiske hackere udnytter en nyligt opdaget sårbarhed.
Kinesiske hackere ser ud til at have kronede dage med at udnytte den nyligt opdagede sårbarhed i Microsofts SharePoint-software, som er udbredt blandt virksomheder og offentlige myndigheder.
På trods af at der er udsendt en opdatering, advarer Microsoft nu om, at mindst tre kinesisk-baserede hackergrupper udnytter sikkerhedshullet til at få adgang til kunders interne SharePoint-servere.
Ifølge Microsoft er to af grupperne såkaldte ‘kinesiske statssponsorerede aktører’, der går under navnene Linen Typhoon og Violet Typhoon, som fokuserer på spionage og tyveri af intellektuel ejendom.
“Derudover har vi observeret en anden aktør med base i Kina, sporet som Storm-2603, der også udnytter disse sårbarheder. Undersøgelser af andre aktører, som muligvis anvender samme metode, er stadig i gang,” tilføjede selskabet ifølge PC Mag.
Microsoft kom med advarslen samtidig med, at virksomheden opfordrer kunder til hurtigst muligt at opdatere deres interne SharePoint-servere, som ofte indeholder følsomme filer og har adgang til e-mailkonti via Outlook.
Andre cybersikkerhedsfirmaer, såsom Check Point, har registreret ‘snesevis af forsøg på at kompromittere servere’ inden for bl.a. statslige organisationer, teleselskaber og softwarevirksomheder i Nordamerika og Vesteuropa.
Sårbarheden gør det muligt for en angriber at udføre ondsindet kode på en SharePoint-server og installere en bagdør, som giver dem adgang til systemet.
Og der er mere dårligt nyt: Microsoft har fundet beviser for, at de tre kinesiske hackergrupper forsøgte at udnytte sårbarheden allerede den 7. juli. Det er cirka 11 dage før det bredt blev kendt i sikkerhedsbranchen, at fejlen blev massivt udnyttet.
Forskere har identificeret over 9.000 IP-adresser relateret til SharePoint, der er sårbare overfor angreb, skriver PC Mag.
Microsoft udsendte i første omgang en opdatering til SharePoint Subscription Edition og SharePoint 2019. Men senere samme mandag udgav virksomheden også en opdatering til SharePoint 2016. Den gode nyhed er, at SharePoint Online i Microsoft 365 ikke er berørt.
Microsofts sikkerhedsrådgivning indeholder også en liste over ‘indikatorer for kompromittering’, som kan hjælpe kunder med at opdage, om deres servere er blevet hacket.
Sikkerhedsforskere opdagede oprindeligt sårbarheden som to softwarefejl tilbage i maj, men dengang kun som et teknisk bevis på, at de kunne udnyttes.
Selvom Microsoft lappede fejlene tidligere i juli, har hackere ifølge den amerikanske cybersikkerhedsmyndighed CISA udviklet metoder til at omgå opdateringen.
