Microsoft je saopštio da su hakerske grupe povezane sa Kinom iskoristile ozbiljne bezbednosne propuste u njihovim SharePoint serverima.
Kako navode iz Microsoftovog tima za bezbednost, najmanje tri APT (Advanced Persistent Threat) grupe – poznate pod nazivima Linen Typhoon, Violet Typhoon i Storm-2603 – koristile su takozvani “ToolShell” lanac napada, zasnovan na dve ranjivosti (CVE‑2025‑53770 i CVE‑2025‑53771), kako bi ostvarile neautorizovani pristup SharePoint okruženju i instalirale maliciozni kod.
Meta ovih napada bili su SharePoint serveri koje kompanije i institucije samostalno hostuju, za razliku od cloud verzije koja nije pogođena. Napadači su, prema izveštaju Microsofta, uspešno instalirali web shell fajl pod nazivom spinstall0.aspx, čime su dobili pristup kriptografskim ključevima i administrator privilegijama.
“Ranjivosti omogućavaju potpunu kontrolu nad sistemima, a kompromitovani serveri omogućavaju dugoročan pristup napadačima”, navodi se u izveštaju.
Prema pisanju američkih medija, među pogođenima su i američke federalne agencije, uključujući Nacionalnu upravu za nuklearnu bezbednost (NNSA), kao i brojne državne i akademske institucije.
Procene govore da je više od 8.000 internet‑dostupnih SharePoint servera potencijalno izloženo napadu.
Kompanija je već izdala bezbednosne zakrpe za sve pogođene verzije SharePoint servera, uključujući SharePoint Server Subscription Edition, 2019 i 2016. Administratori su pozvani da hitno primene ažuriranja, kao i da rotiraju kriptografske ključeve i ponovo pokrenu IIS servis.
Ovaj napad podseća na poznatu kampanju “Hafnium” iz 2021. godine, kada su kineski hakeri iskoristili ranjivosti u Microsoft Exchange serverima. Analitičari upozoravaju da bi slični napadi mogli da uslede i kod drugih lokalno hostovanih aplikacija.
Šta korisnici mogu da urade?
Za korisnike koji još uvek nisu u mogućnosti da instaliraju zakrpe, stručnjaci preporučuju da: isključe SharePoint servere sa javne mreže; omoguće pristup samo preko VPN-a; nadgledaju mrežni saobraćaj i traže neuobičajene konekcije.
Takođe se preporučuje uključivanje napredne zaštite (AMSI u “full” režimu), korišćenje Windows Defendera za Endpoint i skeniranje celokupnog sistema antivirusnim softverom.
