Держспецзв'язку інформує про активну експлуатацію критичних вразливостей у локальних (on-premises) версіях Microsoft SharePoint Server.
Організаціям, що використовують Microsoft SharePoint рекомендують терміново вжити заходів, оскільки ці атаки можуть призвести до повної компрометації мережі та викрадення даних.
Метою таких атак є отримання первинного доступу до ваших мереж. Важливо наголосити: ці вразливості стосуються виключно локальних версій SharePoint Server і НЕ впливають на SharePoint Online у Microsoft 365.
Чому це важливо?
SharePoint-сервери часто зберігають великі обсяги чутливої корпоративної інформації. Успішна експлуатація цих вразливостей надає зловмисникам високі привілеї в системі, що створює значні ризики, серед яких:
викрадення конфіденційних даних - доступ до внутрішніх документів, фінансової інформації, персональних даних співробітників та клієнтів тощо;
плацдарм для подальших атак - скомпрометований сервер може бути використаний для атак на інші системи всередині мережі організації;
повна зупинка роботи - можливе знищення / шифрування даних на ЕОМ в мережі, що може призвести до безповоротної втрати важливих файлів та зупинки бізнес-процесів.
CERT-UA наполегливо рекомендує системним адміністраторам та фахівцям з кібербезпеки виконати наступні кроки:
1. Терміново встановити оновлення безпеки. Це найважливіший крок для закриття вразливостей. Microsoft вже випустила відповідні патчі. Переконайтеся, що ваші SharePoint-сервери оновлені до останньої версії.
2. Перевірити системи на наявність компрометації. Не обмежуйтесь лише встановленням оновлень. Важливо перевірити, чи не був ваш сервер атакований до їх інсталяції. Microsoft надала індикатори кіберзагроз, які допоможуть виявити підозрілу активність, таку як створення нетипових файлів .aspx у каталогах SharePoint або запуск підозрілих процесів.
3. Посилити загальний рівень захисту серверів SharePoint. Дотримуйтесь найкращих практик для адміністрування та захисту серверної інфраструктури.
4. Не дозволяти доступ до SharePoint з мережі інтернет без нагальної на те потреби. У разі якщо це необхідно, то важливо розмістити такий ресурс в демілітаризованій зоні (DMZ).
Якщо ви виявили ознаки компрометації ваших серверів SharePoint або будь-яку іншу підозрілу активність, яка може бути пов'язана з цією загрозою і не тільки, негайно повідомте про це CERT-UA.
Головні новини вашої галузі - щодня на робочому столі LIGA360. Бачити картину дня ще ніколи не було так просто! Побачте всі переваги роботи в комплексній інформаційно-аналітичній платформі LIGA360, замовивши персональну презентацію.
