За даними аналітиків кібербезпеки, понад 1300 серверів Microsoft SharePoint, що мають прямий доступ до інтернету, досі не оновлені та залишаються вразливими до атак. Йдеться про вразливість спуфінгу, яка була виявлена та виправлена Microsoft ще у травні 2023 року. Незважаючи на доступність патчів, значна кількість систем залишається незахищеною, що дозволяє зловмисникам продовжувати експлуатувати цю слабкість в активних кампаніях.
Йдеться про вразливість з ідентифікатором CVE-2023-29357, яка класифікується як вразливість спуфінгу (spoofing vulnerability). Ця вада дозволяє неавтентифікованому зловмиснику отримати підвищення привілеїв (privilege escalation) до рівня адміністратора системи SharePoint. Атака може бути здійснена шляхом надсилання спеціально сформованого JWT-токена, який система помилково сприймає як легітимний. Особливу небезпеку становить той факт, що ця вразливість вже експлуатувалася як нульовий день (zero-day) до випуску офіційного патчу, і її активне використання триває.
Загроза стосується будь-якої організації, що використовує Microsoft SharePoint Server, особливо якщо її екземпляри доступні з інтернету і не були оновлені. Це включає державні установи, великі підприємства, освітні заклади та інші організації, які покладаються на SharePoint для спільної роботи та управління документами. Успішна експлуатація цієї вразливості може призвести до повного компрометування SharePoint-сервера, несанкціонованого доступу до конфіденційних даних, їх витоку або подальшого проникнення в корпоративну мережу. Для українських організацій, що перебувають під постійним тиском кібератак, це є критичним ризиком.
- Негайне оновлення: Першочергово необхідно встановити всі доступні оновлення безпеки Microsoft для SharePoint Server, зокрема ті, що виправляють CVE-2023-29357.
- Мережева сегментація: Обмежте прямий доступ до SharePoint-серверів з інтернету. Використовуйте брандмауери, проксі-сервери та Web Application Firewalls (WAF) для фільтрації трафіку.
- Моніторинг: Впровадьте посилений моніторинг журналів подій на SharePoint-серверах та суміжних системах для виявлення підозрілої активності.
- Аудит: Регулярно проводьте аудит конфігурацій SharePoint та прав доступу користувачів.
- Резервне копіювання: Забезпечте регулярне та безпечне резервне копіювання даних SharePoint.