Logotyp serwisu CyberDefence24
Reklama

Chińskie grupy wykorzystują lukę zero-day w SharePoint

Autor. B_A/commons.wikimedia.org/CC0 1.0, Unknown author/commons.wikimedia.org/BY-SA 3.0, modyfikacja: CyberDefence24.pl

Mimo aktualizacji zabezpieczeń w związku z ujawnioną krytyczną podatnością zero-day w SharePoint, wciąż pojawiają się doniesienia o kolejnych zagrożeniach, które mogą być wynikiem tej luki. Microsoft ogłosiło, że podatność w SharePoint została wykorzystana przez chińskich aktorów.

Jak opisywaliśmy na łamach CyberDefence24.pl, luka CVE-2025-53770 umożliwia m.in. zdalne wykonanie kodu (RCE) nieuwierzytelnionym użytkownikom poprzez wykorzystanie sposobu, w jaki SharePoint deserializuje niezaufane dane.

Zaobserwowano aktywność chińskich aktorów

W oświadczeniu firmy Microsoft dowiadujemy się, że luka była wykorzystywana przez chińskie grupy Linen Typhoon i Violet Typhoon. Zaobserwowano również grupę Storm-2603, która może być również powiązana z Chinami.

Biorąc pod uwagę szybkie rozpowszechnienie się tych exploitów, Microsoft z dużym prawdopodobieństwem ocenia, że aktorzy zagrożeń będą nadal wykorzystywać je w swoich atakach na niezałatane lokalne systemy SharePoint.” – czytamy w oświadczeniu firmy.

Taktyka grup cyberprzestępczych

Microsoft zauważył, że grupy prowadzą działania rozpoznawcze i próbują wykorzystać luki w zabezpieczeniach lokalnych serwerów SharePoint poprzez wysyłanie żądań typu POST do punktu końcowego ToolPane.

Po uzyskaniu dostępu do serwera haker wgrywa złośliwy skryptspinstall0.aspx. Stosowane są również modyfikację nazwy pliku:spinstall.aspx,spinstall1.aspx,spinstall2.aspx.

„Skryptspinstall0.aspx zawiera polecenia pobierające dane MachineKey i zwracające wyniki użytkownikowi za pośrednictwem żądania GET, umożliwiając atakującym kradzież klucza.”

Violet Typhoon charakteryzuje się atakami na firmy i instytucje cywilne. Celami ataków są również byli pracownicy rządowi i wojskowi, NGO, think tanki, sektor finansowy i ochrony zdrowia. Obszar oddziaływania określono na USA, Europę i Azję Wschodnią. Grupa działa od 2015 roku.

Linen Typhoon atakuje „przede wszystkim organizacje związane z administracją rządową, obronnością, planowaniem strategicznym i prawami człowieka”. Działa od 2010 roku.

Z kolei grupa Storm-2603 jest obserwowana przez Microsoft i oceniono jej powiązania z Chinami jako średnio prawdopodobne.

Microsoft śledzi tego aktora zagrożeń (Storm-2603 – przyp. red.) w powiązaniu z próbami kradzieży kluczy MachineKeys za pośrednictwem luk w zabezpieczeniach lokalnego programu SharePoint.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].

CyberDefence24.pl - Digital EU Ambassador

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].

Reklama

WYCIEKI DANYCH z firm. JAK ZAPOBIEGAĆ wynoszeniu danych przez pracowników?

Materiał sponsorowany

Komentarze

    Reklama

    Czytaj także

    Cyberprzestępcze forum rozbite. Efekt międzynarodowego śledztwa
    LODMAN – Miejska Sieć Komputerowa w Łodzi padła ofiarą cyberprzestępców
    Łódzka Miejska Sieć Komputerowa ofiarą ataku ransomware
    Gawkowski: podatek cyfrowy to konieczność
    Samsung rusza z mobilnym serwisem. Szybka naprawa na wyciągnięcie ręki
    Kto kontroluje prawdę podczas nowoczesnej wojny?
    Sprawa luki w SharePoint. Tysiące instancji wciąż narażonych
    Brytyjska firma KNP padła ofiarą grupy ransomware Akira. Incydent przyczynił się do upadku firmy
    Cyberprzestępcy odgadli słabe hasło i zaszyfrowali dane. 700 osób bez pracy
    Wynoszenie danych z organizacji. Czy można tego uniknąć?