Microsoft telah mengeluarkan peringatan peringatan keamanan mendesak tentang “serangan aktif” yang menargetkan server SharePoint yang digunakan oleh lembaga pemerintah dan bisnis di seluruh dunia.
Serangan-serangan itu, ditemukan selama akhir pekan, mengeksploitasi kerentanan yang sebelumnya tidak diketahui dalam perangkat lunak berbagi dokumen, mendorong tindakan segera dari Microsoft dan penyelidik federal.
Biro Investigasi Federal (FBI) memberi tahu Newsweek Pada hari Minggu setelah mengetahui insiden dan bekerja dengan mitra sektor federal dan swasta untuk mengatasi ancaman tersebut. The Washington Post Pertama kali melaporkan peretasan, mengutip aktor tak dikenal yang mengeksploitasi cacat untuk menargetkan kami dan lembaga dan bisnis internasional selama beberapa hari terakhir.
Newsweek Menjangkau Microsoft dan Cybersecurity and Infrastructure Security Agency (CISA) pada hari Minggu melalui email untuk memberikan komentar.
Mengapa itu penting
Serangan nol hari ini merupakan ancaman keamanan siber yang signifikan terhadap organisasi yang mengandalkan SharePoint untuk manajemen dan kolaborasi dokumen internal.
Kerentanan mempengaruhi lembaga pemerintah, sekolah, sistem perawatan kesehatan termasuk rumah sakit, dan perusahaan perusahaan besar, dengan penyerang melewati otentikasi multi-faktor dan perlindungan masuk tunggal untuk mendapatkan akses istimewa.
Apa yang harus diketahui
Kerentanan hanya mempengaruhi server SharePoint di tempat yang digunakan dalam organisasi, bukan layanan online SharePoint berbasis cloud Microsoft.
Michael Sikorski, CTO dan Kepala Intelijen Ancaman untuk Unit 42 di Palo Alto Networks, memberi tahu Newsweek Dalam pernyataan email bahwa “penyerang melewati kontrol identitas, termasuk MFA dan SSO, untuk mendapatkan akses istimewa. Setelah di dalam, mereka mengekspiltrasi data sensitif, menggunakan pintu belakang yang persisten, dan mencuri kunci kriptografi.”
Menurut Sikorski, para penyerang telah mendirikan pijakan dalam sistem yang dikompromikan, membuat penambalan saja tidak cukup untuk menghilangkan ancaman sepenuhnya. Kompromi meluas di luar SharePoint karena integrasi yang mendalam dengan platform Microsoft, termasuk Office, Teams, OneDrive dan Outlook. “Yang membuat ini terutama memprihatinkan adalah integrasi mendalam SharePoint dengan platform Microsoft,” kata Sikorski. “Kompromi tidak tetap terkandung – itu membuka pintu ke seluruh jaringan.”
Microsoft telah merilis pembaruan keamanan untuk edisi berlangganan SharePoint dan sedang mengembangkan tambalan untuk versi 2016 dan 2019. Perusahaan merekomendasikan organisasi yang tidak dapat segera menerapkan langkah -langkah perlindungan harus memutuskan server mereka dari internet sampai pembaruan tersedia.
(Foto AP/Jason Redmond, file
Apa yang dikatakan orang
Tim Keamanan Microsoft dalam sebuah pernyataan: “Kami merekomendasikan pembaruan keamanan yang harus diterapkan oleh pelanggan segera.”
Michael Sikorski, CTO dan Kepala Intelijen Ancaman untuk Unit 42 di Palo Alto Networks, memberi tahu Newsweek: “Jika Anda memiliki SharePoint On-Prem yang terpapar ke Internet, Anda harus berasumsi bahwa Anda telah dikompromikan pada saat ini. Ini adalah ancaman urusan tinggi dan tinggi. Kami mendesak organisasi yang menjalankan SharePoint di Prem untuk segera mengambil tindakan dan menerapkan semua tambalan yang relevan sekarang dan ketika mereka tersedia, memutar semua materi kriptografi, dan melibatkan respons insiden profesional.”
Badan Keamanan Keamanan Cybersecurity dan Infrastruktur mengatakan pada hari Minggu: “CISA sadar akan eksploitasi aktif kerentanan eksekusi jarak jauh (RCE) yang memungkinkan akses tidak sah ke server SharePoint di tempat. Sementara ruang lingkup dan dampaknya terus dinilai, kerentanan umum dan paparan yang ada, CVE-2025-5370, merupakan varian dari variasi yang ada, CVE-2025-5370, merupakan varian dari variasi yang ada. Organisasi.
FBI memberi tahu Newsweek Dalam tanggapan email bahwa mereka adalah: “Sadar akan serangan dan bekerja erat dengan mitra sektor federal dan swasta,” meskipun mereka menolak untuk memberikan rincian operasional tambahan.
Apa yang terjadi selanjutnya
Organisasi yang menggunakan versi SharePoint yang terpengaruh menghadapi keputusan langsung tentang pemutusan server dari Internet sampai tambalan tersedia.
Palo Alto Networks secara aktif memberi tahu pelanggan yang terkena dampak dan bekerja sama dengan pusat respons keamanan Microsoft untuk memberikan intelijen ancaman yang diperbarui. Microsoft terus mengembangkan tambalan untuk versi SharePoint yang lebih lama, dengan detail garis waktu belum diumumkan.
