Госспецсвязи информирует об активной эксплуатации критических уязвимостей в локальных (on - premises) версиях Microsoft SharePoint Server.
Организациям, которые используют Microsoft SharePoint рекомендуют срочно принять меры, поскольку эти атаки могут привести к полной компрометации сети и похищению данных.
Целью таких атак является получение первичного доступа к вашим сетям. Важно отметить: эти уязвимости касаются исключительно локальных версий SharePoint Server и НЕ влияют на SharePoint Online в Microsoft 365.
Почему это важно?
SharePoint-серверы часто хранят большие объемы чувствительной корпоративной информации. Успешная эксплуатация этих уязвимостец предоставляет злоумышленникам высокие привилегии в системе, которая создает значительные риски, среди которых:
похищение конфиденциальных данных - доступ к внутренним документам, финансовой информации, персональным данным сотрудникам и клиентам и тому подобное;
плацдарм для дальнейших атак - скомпрометированный сервер может быть использован для атак на другие системы внутри сети организации;
полная остановка работы - возможное уничтожение / шифровки данных на ЭВМ в сети, которая может привести к безвозвратной потере важных файлов и остановке бизнес-процессов.
CERT-UA настойчиво рекомендует системным администраторам и специалистам по кибербезопасности выполнить следующие шаги:
1. Срочно установить обновление безопасности. Это важнейший шаг для закрытия уязвимостей. Microsoft уже выпустила соответствующие патчи. Убедитесь, что ваши SharePoint-серверы обновлены до последней версии.
2. Проверить системы на наличие компрометации. Не ограничивайтесь только установлением обновлений. Важно проверить, не был ли ваш сервер атакован до их инсталляции. Microsoft предоставила индикаторы киберугроз, которые помогут выявить подозрительную активность, такую как создание нетипичных файлов .aspx в каталогах SharePoint или запуск подозрительных процессов.
3. Усилить общий уровень защиты серверов SharePoint. Придерживайтесь наилучших практик для администрирования и защиты серверной инфраструктуры.
4. Не разрешать доступ к SharePoint из сети интернет без неотложной на то потребности. В случае, если это необходимо, то важно разместить такой ресурс в демилитаризованной зоне (DMZ).
Если вы выявили признаки компрометации ваших серверов SharePoint или любую другую подозрительную активность, которая может быть связана с этой угрозой и не только, немедленно сообщите об этом CERT-UA.
Главные новости вашей отрасли - ежедневно на рабочем столе LIGA360. Видеть картину дня еще никогда не было так просто! Увидьте все преимущества работы в комплексной информационно-аналитической платформе LIGA360, заказав персональную презентацию.
