Hacker greifen Behörden und Unternehmen über eine Schwachstelle in lokalen Sharepoint-Installationen an. Ein Kommentar von Michael Sikorski, CTO und Head of Threat Intelligence für Unit 42 bei Palo Alto Networks:
„Unit 42 beobachtet eine wirkungsvolle, andauernde Bedrohungskampagne, die auf lokale Microsoft-Sharepoint-Server abzielt. Während Cloud-Umgebungen nicht betroffen sind, sind lokale Sharepoint-Implementierungen einem unmittelbaren Risiko ausgesetzt – insbesondere in Behörden, Schulen, im Gesundheitswesen einschließlich Krankenhäusern und großen Unternehmen. Wir arbeiten derzeit eng mit Microsofts-MSRC (Microsoft Security Response Center) zusammen, um sicherzustellen, dass unsere Kunden die neuesten Informationen erhalten, und benachrichtigen aktiv betroffene Kunden und andere Organisationen.
Angreifer umgehen Identitätskontrollen, einschließlich MFA und SSO, um privilegierten Zugang zu erlangen. Einmal im System, exfiltrieren sie sensible Daten, installieren permanente Hintertüren und stehlen kryptographische Schlüssel. Die Angreifer haben diese Schwachstelle genutzt, um in Systeme einzudringen, und etablieren bereits ihre Präsenz. Wenn Unternehmen Sharepoint lokal betreiben und es mit dem Internet verbunden ist, sollten sie zu diesem Zeitpunkt davon ausgehen, dass sie kompromittiert wurden. Patching allein ist unzureichend, um die Bedrohung vollständig zu beseitigen.
Besonders besorgniserregend ist die tiefe Integration von Sharepoint in die Microsoft-Plattform, einschließlich ihrer Dienste wie Office, Teams, Onedrive und Outlook, die alle für einen Angreifer wertvollen Informationen enthalten. Eine Kompromittierung bleibt nicht eingegrenzt – sie öffnet die Tür zum gesamten Netzwerk.
Unternehmen, die Sharepoint lokal betreiben, sollten sofort handeln und alle relevanten Patches jetzt und sobald sie verfügbar werden installieren, sämtliches kryptographisches Material rotieren und professionelle Incident-Response einsetzen. Eine Notlösung wäre, Microsoft Sharepoint vom Internet zu trennen, bis ein Patch verfügbar ist. Ein falsches Sicherheitsgefühl könnte zu anhaltender Exposition und weitreichender Kompromittierung führen.“
#Unit42
