Microsoft je saopštio da su hakerske grupe povezane sa Kinom iskoristile ozbiljne bezbednosne propuste u njihovim SharePoint serverima.
Kako navode iz Microsoftovog tima za bezbednost, najmanje tri APT (Advanced Persistent Threat) grupe – poznate pod nazivima Linen Typhoon, Violet Typhoon i Storm-2603 – koristile su takozvani “ToolShell” lanac napada, zasnovan na dve ranjivosti (CVE‑2025‑53770 i CVE‑2025‑53771), kako bi ostvarile neautorizovani pristup SharePoint okruženju i instalirale maliciozni kod.
Meta ovih napada bili su SharePoint serveri koje kompanije i institucije samostalno hostuju, za razliku od cloud verzije koja nije pogođena. Napadači su, prema izveštaju Microsofta, uspešno instalirali web shell fajl pod nazivom spinstall0.aspx, čime su dobili pristup kriptografskim ključevima i administrator privilegijama.
“Ranjivosti omogućavaju potpunu kontrolu nad sistemima, a kompromitovani serveri omogućavaju dugoročan pristup napadačima”, navodi se u izveštaju.
Prema pisanju američkih medija, među pogođenima su i američke federalne agencije, uključujući Nacionalnu upravu za nuklearnu bezbednost (NNSA), kao i brojne državne i akademske institucije.
Procene govore da je više od 8.000 internet‑dostupnih SharePoint servera potencijalno izloženo napadu.
Kompanija je već izdala bezbednosne zakrpe za sve pogođene verzije SharePoint servera, uključujući SharePoint Server Subscription Edition, 2019 i 2016. Administratori su pozvani da hitno primene ažuriranja, kao i da rotiraju kriptografske ključeve i ponovo pokrenu IIS servis.
Ovaj napad podseća na poznatu kampanju “Hafnium” iz 2021. godine, kada su kineski hakeri iskoristili ranjivosti u Microsoft Exchange serverima. Analitičari upozoravaju da bi slični napadi mogli da uslede i kod drugih lokalno hostovanih aplikacija.
Šta korisnici mogu da urade?
Za korisnike koji još uvek nisu u mogućnosti da instaliraju zakrpe, stručnjaci preporučuju da: isključe SharePoint servere sa javne mreže; omoguće pristup samo preko VPN-a; nadgledaju mrežni saobraćaj i traže neuobičajene konekcije.
Takođe se preporučuje uključivanje napredne zaštite (AMSI u “full” režimu), korišćenje Windows Defendera za Endpoint i skeniranje celokupnog sistema antivirusnim softverom.
Dakle ovo njihovo “povezane sa” mi vrh! Nisu znali, da jih neko hakuje, ali su sigutni, da ima nešto sa Kinom!
И нисмо сазнали шта је резултат хакерских напада, само уопштене фразе. Типични Микрософт
Znaci microsoft koji je napravio “propust” nije kriv, krivi su oni koji su iskoristili propust. Nije ni važno što to nije propust vec namerno ostavljena “zadnja vrata” kojima microsoft skuplja i prodaje podatke sa naših računara, nije ni bitno što microsoft ostavlja pristup obavešteni agencijama bez našeg znanja i saglasnosti ali su “jadni” hakeri koji su sve to otkrili sada krivi za sve. I da kada hakeri ukradu od microsofta podatke koje je microsoft ukrao od nas to je zaista veliki kriminal