הניצול של SharePoint נוצל נגד קורבנות ידועים, כולל המינהל הלאומי לביטחון גרעיני של ארה"ב, משרד ביטחון המולדת, משרד האנרגיה ומשרד הבריאות ושירותי האנוש, אך רבים אחרים נפגעו גם הם מההשלכות. הנה מה המשמעות עבורכם.
ב-20 ביולי, מיקרוסופט פרסמה הודעה טלאי חירום יחד עם אזהרה, לאחר שתוקפים נמצאו מנצלים באופן פעיל פגיעות קריטית בשרתי SharePoint מקומיים כדי לעקוף אימות. אם יצליחו, יריבים יוכלו לגשת לתוכן SharePoint פרטי, כולל תצורות פנימיות ומערכות קבצים.
עד מהרה התברר כי הפגם עקב אחר CVE-2025-53770 וגרסה CVE-2025-53771, המכונה יחד ToolShell, שימשו ל להפיץ תוכנות כופר.
ימים לאחר מכן התברר שתיקון SharePoint הגיע לאחר ש... תיקון אבטחה שנכשל מוקדם יותר החודש. מיקרוסופט הודתה כי הפתרון הראשוני שלה לפגם - שזוהה בתחרות האקרים במאי - לא עבד, מה שאילץ אותה לשחרר תיקונים נוספים כדי לפתור את הבעיה.
עד אז, יריבים של סין ומדינות הלאום, כולל טייפון לין וטייפון ויולט – כמו גם החבורה סופה-2603 – גבה קורבנות, כולל המינהל הלאומי לביטחון גרעיני של ארה"ב, משרד לביטחון פנים, משרד האנרגיה ומשרד הבריאות ושירותי האנוש.
מיקרוסופט גם הודתה שקבוצות אחרות ניצלו את הפגיעות באופן נרחב יותר, עם ransomware כלול כחלק מהתקפות. ההערכה היא שהתקפות Microsoft SharePoint ToolShell גרמו לפגיעה מצד יריבים 396 מערכות SharePoint ביותר מ-145 ארגונים ב-41 מדינות.
עם מטרות כה מתוקשרות, התקפות SharePoint עשויות להרגיש רחוקות מהעסק היומיומי. עם זאת, האירוע צריך להיות קריאת השכמה לכל ארגון המסתמך על שירותי מיקרוסופט, פלטפורמות ענן או כלי שיתוף פעולה מקומיים. אם תוקפים יכולים להתמיד בסביבות ממשלתיות קשות, הם יכולים בקלות לנצל מערכות עסקיות פגיעות באמצעות אותן טקטיקות.
אז מה המשמעות של ניצול לרעה של SharePoint עבור עסקים, וכיצד תוכלו לשפר את מצב האבטחה שלכם כדי להימנע מלהיתפס באש צולבת של התקפות כאלה?
אבטחה על ידי אלמוניות
מתקפות SharePoint ToolShell הרסו את המיתוס המסוכן של 'אבטחה באמצעות ערפול': האמונה השגויה שארגונים קטנים יותר לא יהיו מטרה כי הם לא חשובים מספיק, אומר דריו פרפטיבילה, סגן נשיא ומנכ"ל הפעילות האירופית ב-Kiteworks. ISMS.online.
"היקף הפריצה העצום" חושף כיצד מתקפות סייבר מודרניות "משתמשות בניצול אוטומטי כדי למקד פגיעויות בקנה מידה גדול", במקום להתמקד רק בארגונים ספציפיים, הוא אומר. "עם למעלה מ-9,300 שרתי SharePoint שנחשפו באינטרנט, התוקפים השתמשו בסריקה אוטומטית כדי לזהות אלפי מערכות פגיעות וניצלו את כל מה שמצאו."
"התפתחות הקמפיין מריגול בחסות המדינה להתקפות כופר אופורטוניסטיות" ממחישה זאת בצורה מושלמת, אומר פרפטיבילה. "סופה-2603 ראתה בשרתים חשופים הזדמנויות למונטיזציה."
פרצות הגישה של SharePoint הדגישו גם כיצד תיקון טלאים לבדו לא תמיד פותר את הבעיה, אם התוקפים כבר מסתתרים במערכות לאחר הגישה הראשונית. במקרה של SharePoint, התוקפים השתמשו בטכניקות התגנבות שנמשכו גם לאחר התיקונים, תוך ניצול בקרות פנימיות חלשות.
הניצול עצמו מדאיג מספיק, אבל דבר נוסף שיש לקחת בחשבון הוא כיצד התוקפים פועלים ברגע שהם בפנים, אומר פייר נואל, מנהל מערכות מידע שטח EMEA ב-Expel. "הם הפכו טכניקות כמו 'לחיות מהאדמה', תוך שימוש באותם כלי ניהול שצוות ה-IT שלך מסתמך עליהם. מה שהיה שמור בעבר לתוקפים מתוחכמים, כיום אפוי בכל מדריך לתוכנות כופר."
בהתחשב בכך, אותן טקטיקות המשמשות לריגול ברמה הלאומית "ניתן באותה קלות להפעיל נגד קמעונאי בינוני או ספק שירותי בריאות", הוא מזהיר.
ראות לקויה
סיכון נוסף הוא שלארגונים רבים יש נראות לקויה של כלי שיתוף הפעולה שלהם, מה שמותיר נקודות עיוורות בהערכות סיכונים. בעוד שכלי שיתוף פעולה הם קריטיים לפרודוקטיביות, הם "לעיתים רחוקות מקבלים את אותה רמת ניטור כמו נקודות קצה או חומות אש", אומר נואל. "יומני רישום אינם שלמים, שילובי אבטחה הם מחשבה שלאחר מעשה, ורוב הערכות הסיכונים מדלגות עליהם לחלוטין, ומשאירות את הפלטפורמות שבהן העובדים פועלים בפועל ללא פיקוח וחשיפה."
רישיונות מיקרוסופט E3 יכול לעכב יומני אבטחה תחת עומס ולעכב את המסירה עד 72 שעות, בעוד שרוב הפלטפורמות שומרות יומני ביקורת רק למשך 90 יום עד שנה, אומר פרפטיבילה. "זהו זמן קצר מדי, כאשר חקירות פורנזיות גילו שפרצות ב-SharePoint התרחשו חודשים לפני הגילוי."
"ניטור מקוטע" זה יוצר גם "תנאים מושלמים לדליפת נתונים בלתי מזוהה", מזהיר פרפטיבילה. "תוקפים יכולים לפזר את פעילותם על פני פלטפורמות מרובות כדי להישאר מתחת לספי הגילוי האישיים של כל מערכת, בעוד שצוותי אבטחה חסרים את ניתוח ההתנהגות חוצה הפלטפורמות הדרוש כדי לזהות דפוסים."
אמצעי אבטחה
התקפות SharePoint הן תזכורת לכך שכל העסקים פגיעים לפריצות, גם אם התוקפים נראים ראשונים כשהם פוגעים במטרות בעלות פרופיל גבוה. בהתחשב בכך, ישנם כמה צעדים מרכזיים שתוכלו לנקוט כעת כדי להגן על עצמכם.
סעיד עבאסי, מנהל בכיר לניהול מוצר ביחידת המחקר של איומים של קוואליס, מייעץ לחברות לעבור "ביקורת גילוי חירום" כדי למפות את כל משטח ההתקפה של SharePoint שלהן, הן באופן מקומי והן באופן מקוון. "זהו כל נכס חשוף לאינטרנט, את הגרסה שלו ואת בעליו, ולאחר מכן מיינו אותו לתיקון על סמך חשיפה וניצול, תוך קידום תיקונים קריטיים במסגרת הסכמי רמת שירות אגרסיביים."
עבור כל נכס שבו תיקון מיידי אינו אפשרי, עבאסי ממליץ ליישם "טכניקות תיקון מתקדמות" - כגון בידוד המארח או יישום אמצעי הקלה זמניים - עד שניתן יהיה לפרוס תיקון קבוע.
במקביל, מומלץ להקשיח את כל התצורות. "לאכוף אימות רב-גורמי וגישה מותנית, לבטל גישה ציבורית ולבקר תוספים של צד שלישי", אומר עבאסי.
באופן כללי יותר, כדי להגן מפני התקפות בסגנון SharePoint, ארגונים חייבים ליישם ארכיטקטורת אפס-אמון המאמתת כל בקשה, אפילו אלו ממערכות פנימיות "מהימנות", מייעצת Perfettibile. "זה חשוב מכיוון שתוקפים השתמשו בכלים לגיטימיים וגנבו מפתחות קריפטוגרפיים כדי לשמור על עמידות לאחר הפגיעה הראשונית."
פילוח נתונים קריטי הוא "חיוני", הוא מוסיף. "בודדו פלטפורמות שיתוף פעולה ממערכות עסקיות מרכזיות, אכיפו גישה בעלת הרשאות מועטות כברירת מחדל במקום שיתוף פתוח, והבטיחו שפריצה בפלטפורמה אחת לא תוכל להתפשט לכל התשתית שלכם."
מסגרות כגון ISO 27001 שעוזרים להעריך את הסיכון האישי שלך יכולים גם להפחית את הסיכוי להיתפס על ידי פגיעויות כמו הפגם ב-SharePoint.
כחלק מכך, תרגילי שולחן קבועים המדמים פרצות לפלטפורמות שיתוף פעולה שימושיים לחשיפת נקודות מתות. "בדקו האם הצוות שלכם יכול לזהות מפתחות אימות גנובים, לזהות תנועה רוחבית בין פלטפורמות ולבצע בלימה כאשר תיקונים עצמם עקפו", אומר פרפטיבילה.
במקביל, חברות יכולות להעריך את הסיכונים של שרשרת האספקה של מיקרוסופט על ידי הבנה שהן פגיעות לפריצות מרובות דיירים המשפיעות על ארגונים אחרים, אומר פרפטיבילה. "מיקרוסופט שולטת במפתחות ההצפנה שלך, מה שהופך אותך לפגיע לציובים סמויים, ותוספי SharePoint של צד שלישי יוצרים וקטורי תקיפה נוספים."
