نقص امنیتی در محصول مایکروسافت

به گزارش کارگروه امنیت خبرگزاری سایبربان، هکرها از یک آسیب‌پذیری در مایکروسافت شیرپوینت (SharePoint) سوءاستفاده کرده‌اند؛ نرم‌افزاری اینترنت‌محور که عمدتاً توسط نهادهای دولتی و شرکت‌های خصوصی برای مدیریت اسناد و سوابق داخلی استفاده می‌شود.

مایکروسافت روز شنبه مشتریان را از وجود این مشکل مطلع کرد و یک‌شنبه راهنمایی‌هایی برای رفع آن منتشر نمود.

آژانس امنیت سایبری و زیرساخت‌های ایالات متحده (CISA)، وابسته به وزارت امنیت داخلی آمریکا، روز یک‌شنبه اعلام کرد که همچنان در حال ارزیابی گستره این حملات است.

کریس بوترِا، معاون اجرایی موقت آژانس در حوزه امنیت سایبری، بیان کرد:

آژانس از طریق یکی از شرکای معتبر از سوءاستفاده از این نقص مطلع شد و بلافاصله با مایکروسافت تماس گرفته شد تا اقدامات لازم انجام شود. مایکروسافت با سرعت واکنش نشان داده و ما در حال همکاری با این شرکت هستیم تا نهادهایی را که ممکن است تحت تأثیر قرار گرفته باشند، از اقدامات اصلاحی مطلع کنیم.

شرکت آی سکیوریتی (Eye Security)، فعال در حوزه امنیت سایبری، بیش از ۸ هزار سرور شیرپوینت در سطح جهان را اسکن کرده و دریافت که ده‌ها سازمان بین روزهای جمعه تا دوشنبه مورد حمله قرار گرفته‌اند.

این شرکت می‌گوید کشف اولیه این حملات نیز توسط آن انجام شده است.

مایکروسافت و کارشناسان امنیتی اعلام کرده‌اند که مشتریانی که از شیرپوینت مبتنی بر فضای ابری استفاده می‌کنند، در معرض خطر نیستند.

اما سازمان‌هایی که سرورهای شیرپوینت خود را به‌صورت داخلی (on-premises) میزبانی می‌کنند، از جمله نهادهای دولتی، مدارس، بیمارستان‌ها و شرکت‌های بزرگ، همچنان آسیب‌پذیر باقی مانده‌اند.

مایکروسافت و آی سکیوریتی از این دسته از مشتریان خواسته‌اند فوراً راهکارهای امنیتی توصیه‌شده توسط مایکروسافت را اجرا کنند تا مانع دسترسی هکرها به شبکه و سرقت اطلاعات شوند.

در حملات مشابه قبلی، مهاجمان موفق به سرقت اطلاعات شناسایی مشتریان، مکاتبات داخلی و مالکیت فکری شده‌اند.

شرکت آی سکیوریتی در وبلاگ خود هشدار داد:

این خطر، فرضی نیست.

این آسیب‌پذیری به‌عنوان یک حمله روز صفر (zero-day) شناخته می‌شود؛ یعنی نقصی که شرکت پیش‌تر از آن بی‌اطلاع بوده و هیچ فرصتی برای تهیه وصله یا راه‌حل فوری نداشته است.

طبق اعلام آژانس امنیت سایبری و زیرساخت‌های ایالات متحده، عاملان مخرب پس از ورود به محیط شیرپوینت، قادر به دست‌کاری کد در زیرساخت داخلی سازمان‌ها هستند.

مایکروسافت این نقص را بحرانی (critical)؛ یعنی بالاترین سطح تهدید در راهنمای امنیتی خود طبقه‌بندی کرده است.

تیم تحقیقاتی تهدیدات سایبری یونیت 42 (Unit 42)، وابسته به شرکت پالو آلتو نتوورکس (Palo Alto Networks) نیز این تهدید را «شدید و فوری» توصیف کرده است.

مایکل سیکورسکی، مدیر ارشد فنی در یونیت 42، اظهار داشت که مهاجمان با عبور از گذرواژه‌ها و دیگر تدابیر امنیتی شیرپوینت، به داده‌های حساس دست یافته و مواضع ثابتی برای تداوم دسترسی ایجاد کرده‌اند.

این نفوذها به آن‌ها امکان می‌دهد درب‌های پشتی (Backdoor) ایجاد کنند که حتی پس از راه‌اندازی مجدد سیستم یا به‌روزرسانی نرم‌افزار باقی می‌مانند.

او هشدار داد:

اگر از نسخه داخلی شیرپوینت استفاده می‌کنید که در معرض اینترنت است، باید فرض کنید که سیستم شما قبلاً آلوده شده است. صرفاً نصب وصله امنیتی برای حذف کامل تهدید کافی نیست.

از آن‌جایی که شیرپوینت با مجموعه محصولات مایکروسافت از جمله اوت لوک (Outlook) و تیمز (Teams)، یکپارچگی عمیقی دارد، این حملات نگرانی‌های گسترده‌تری را ایجاد کرده‌اند.

سیکورسکی اظهار کرد:

زمانی که یک بخش به خطر می‌افتد، راه برای دسترسی به کل شبکه باز می‌شود.

در گزارش تهدیدی که روز دوشنبه منتشر شد، شرکت پالو آلتو نتوورکس توصیه کرد که مشتریان به‌طور کامل از دستورالعمل‌های امنیتی مایکروسافت پیروی کنند.

این حملات تنها چهار ماه پس از آن رخ می‌دهند که شرکت امنیتی ترند میکرو (Trend Micro) از یک آسیب‌پذیری روز صفر دیگر در محصولات مایکروسافت پرده برداشت.

در آن مورد، هکرهایی تحت حمایت دولت‌های کره شمالی، ایران، روسیه و چین از نقصی در میانبرهای ویندوز برای سرقت داده‌ها و رمزارز استفاده کردند.