Microsoft a emis un avertisment urgent către guverne și organizații private privind o campanie cibernetică activă care vizează serverele sale SharePoint instalate local (on-premises). Atacurile exploatează o vulnerabilitate critică de tip „zero-day”, necunoscută până recent, care permite atacatorilor să preia controlul complet asupra sistemelor afectate.
Potrivit companiei, aceste atacuri nu afectează serviciile cloud, cum ar fi SharePoint Online din Microsoft 365, ci vizează exclusiv serverele locale folosite pe scară largă de instituții publice și companii din multiple sectoare, inclusiv telecomunicații, energie, educație și administrație publică.
Conform unui raport al Washington Post, cel puțin două agenții guvernamentale din Statele Unite au fost deja compromise, iar atacurile s-au extins și către organizații din Asia și Europa. Unele victime au raportat pierderea conținutului de pe site-uri oficiale, documente dispărute și imposibilitatea de a restabili accesul, ceea ce indică un nivel ridicat de acces obținut de atacatori.
Vulnerabilitatea, desemnată CVE-2025-53770, a fost descrisă ca fiind una care permite executarea de cod de la distanță, fără autentificare. Printre metodele folosite se numără instalarea de așa-numite „web shells”, instrumente care le permit atacatorilor să mențină controlul asupra serverelor infectate chiar și după aplicarea unui eventual patch de securitate.
Microsoft, în colaborare cu Agenția pentru Securitate Cibernetică și Infrastructură (CISA), FBI și alte agenții internaționale, a lansat o serie de recomandări urgente pentru utilizatori. Compania a emis deja un patch pentru SharePoint Subscription Edition, iar versiunile 2019 și 2016 urmează să primească actualizări similare în cel mai scurt timp.
În lipsa unei actualizări oficiale pentru versiunile mai vechi, Microsoft recomandă măsuri temporare de atenuare, cum ar fi deconectarea serverelor afectate de la internet, activarea protecțiilor antivirus avansate și investigarea imediată a activităților suspecte.
Reprezentanți ai FBI au confirmat că agenția este conștientă de situație și cooperează activ cu Microsoft și celelalte entități implicate pentru a limita efectele atacului. De asemenea, autoritățile americane au recomandat organizațiilor afectate să investigheze dacă date sensibile, precum chei criptografice sau acreditive de autentificare, au fost extrase de atacatori.
Experții în securitate atrag atenția că amploarea reală a atacului ar putea fi mult mai mare decât cea cunoscută până acum. Potrivit unor analiști citați de Washington Post, atacatorii par să fi avut acces extins la infrastructura victimelor și să fi vizat inclusiv servicii de mesagerie, comunicare și stocare internă. Acest lucru ridică riscul unor accesări persistente chiar și după remedierea vulnerabilității inițiale.
Un oficial anonim dintr-o agenție guvernamentală americană a declarat pentru publicația americană că „aplicarea unui patch acum nu este suficientă dacă compromiterea a avut loc deja. Cheile furate și canalele ascunse de control pot rămâne active în rețea.”
În prezent, specialiștii în securitate recomandă o abordare proactivă: pe lângă actualizările de software, este esențială analiza amănunțită a logurilor, căutarea activă a semnelor de compromitere și schimbarea tuturor acreditivelor sensibile asociate serverelor afectate.
CISA a inclus deja vulnerabilitatea în catalogul său de riscuri exploatate activ, ceea ce înseamnă că agențiile guvernamentale din SUA sunt obligate să ia măsuri imediate de remediere.
Pe fondul creșterii rapide a atacurilor cibernetice sofisticate, acest incident subliniază importanța securizării infrastructurii IT locale și a migrării către soluții cloud mai bine protejate, unde actualizările de securitate pot fi implementate automat și mai rapid.
